CVE-2014-0224
読み：スィーヴィーイー-にーゼロいちよん-ゼロにーにーよん
外語：CVE-2014-0224

　OpenSSLに存在した脆弱性の一つ。「ChangeCipherSpec(CCS) Injection Vulnerability」脆弱性。

目次 概要 特徴 問題 原因 修正

---

概要
　MITRE社の脆弱性情報データベースCommon Vulnerabilities and Exposures(CVE)に登録されている脆弱性の一つ。
　これは、OpenSSLの欠陥により、中間者攻撃に繋がる可能性があるセキュリティホールである。

• 影響
  • OpenSSL 0.9.8 ‐ 0.9.8y (0.9.8zaより前)
  • OpenSSL 1.0.0 ‐ 1.0.0l (1.0.0mより前)
  • OpenSSL 1.0.1 ‐ 1.0.1g (1.0.1hより前)
• 他の符号
  • JVN#61247051

　1.0.0mおよび1.0.1hにて修正された。

---

特徴

---

問題
　暗号化された通信が、中間者攻撃(MIMA)によって解読または改竄される可能性がある。
　日本のネットワーク/セキュリティ技術・研究開発企業、レピダムの菊池正史により発見された。

---

原因
　OpenSSLのDTLSクライアントに不正なDTLSハンドシェイクを送信することで、攻撃者の指定した弱い鍵の使用が強制される可能性があった。
　この脆弱性が悪用されると、攻撃者は暗号文を盗聴したり、改竄したりすることが可能だった。

---

修正
　セッション鍵の変更を受け入れるかどうかのフラグを用意し、変更要求発生時の拒絶処理が追加された。
　修正は「Fix for CVE-2014-0224」と題されている。

---

再検索