OpenSSLに存在した脆弱性の一つ。「ChangeCipherSpec(CCS) Injection Vulnerability」脆弱性。
MITRE社の脆弱性情報データベースCommon Vulnerabilities and Exposures(CVE)に登録されている脆弱性の一つ。
これは、OpenSSLの欠陥により、中間者攻撃に繋がる可能性があるセキュリティホールである。
1.0.0mおよび1.0.1hにて修正された。
暗号化された通信が、中間者攻撃(MIMA)によって解読または改竄される可能性がある。
日本のネットワーク/セキュリティ技術・研究開発企業、レピダムの菊池正史により発見された。
OpenSSLのDTLSクライアントに不正なDTLSハンドシェイクを送信することで、攻撃者の指定した弱い鍵の使用が強制される可能性があった。
この脆弱性が悪用されると、攻撃者は暗号文を盗聴したり、改竄したりすることが可能だった。
セッション鍵の変更を受け入れるかどうかのフラグを用意し、変更要求発生時の拒絶処理が追加された。
修正は「Fix for CVE-2014-0224
」と題されている。
コメントなどを投稿するフォームは、日本語対応時のみ表示されます
通信用語の基礎知識検索システム WDIC Explorer Version 7.04a (27-May-2022)
OpenSSL
セキュリティホール
