OpenSSLに存在した脆弱性の一つ。「ChangeCipherSpec(CCS) Injection Vulnerability」脆弱性。

目次 概要 特徴 問題 原因 修正

概要

MITRE社の脆弱性情報データベースCommon Vulnerabilities and Exposures(CVE)に登録されている脆弱性の一つ。

これは、OpenSSLの欠陥により、中間者攻撃に繋がる可能性があるセキュリティホールである。

• 影響
  • OpenSSL 0.9.8 ‐ 0.9.8y (0.9.8zaより前)
  • OpenSSL 1.0.0 ‐ 1.0.0l (1.0.0mより前)
  • OpenSSL 1.0.1 ‐ 1.0.1g (1.0.1hより前)
• 他の符号
  • JVN#61247051

1.0.0mおよび1.0.1hにて修正された。

特徴

問題

暗号化された通信が、中間者攻撃(MIMA)によって解読または改竄される可能性がある。

日本のネットワーク/セキュリティ技術・研究開発企業、レピダムの菊池正史により発見された。

原因

OpenSSLのDTLSクライアントに不正なDTLSハンドシェイクを送信することで、攻撃者の指定した弱い鍵の使用が強制される可能性があった。

この脆弱性が悪用されると、攻撃者は暗号文を盗聴したり、改竄したりすることが可能だった。

修正

セッション鍵の変更を受け入れるかどうかのフラグを用意し、変更要求発生時の拒絶処理が追加された。

修正は「Fix for CVE-2014-0224」と題されている。

リンク

関連するリンク
https://www.openssl.org/news/secadv_20140605.txt
用語の所属
OpenSSL
セキュリティホール
脆弱性

[再検索] [戻る]