iidaの日記: OpenSSL 1.0.0c, 0.9.8q
日記 by
iida
OpenSSL 1.0.0c, 0.9.8qがリリースされた。
セキュリティー修正を2つ含んでいる。
アドバイザリーが出ている。
従来のすべての版のOpenSSLが
・暗号法をダウングレードできる脆弱性
・J-PAKE認証を無意味にできる脆弱性
を内包していた模様。
前者の脆弱性は、OpenSSLの内部キャッシュを利用していて、かつ、SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUGフラグを使っていることが条件になる。
ただ、SSL_OP_ALL オプションを使っても、このフラグを使ったことになるので、要注意だ。
後者の脆弱性については、2010年9月に論文が出ていたようだが、まだまじめに読んでいない。
[参考URL]
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2010/12.html#20101207_OpenSSL
OpenSSL 1.0.0c, 0.9.8q More ログイン