パスワードを忘れた? アカウント作成
14302434 journal
日記

iidaの日記: OpenSSL Security Advisory [09 September 2020]

日記 by iida

TLSの仕様にラクーン攻撃と名付けられた深刻度低の脆弱性 (CVE-2020-1968) が発覚し、OpenSSLの一部でその悪用が可能と判明し、セキュリティー・アドバイザリーが刊行された。
DH (ディッフィー・ヘルマン) 鍵交換を含む暗号法に、ある条件で弱点が発生し、悪用されると、暗号通信内容を傍受できる模様。
1.1.1系のOpenSSLは、安全 (悪用の可能になる条件を満たさない)。
1.0.2f以降が脆弱。
1.0.2e以前では、SSL_OP_SINGLE_DH_USEオプションを有効にして構築したばあいにサーバー側で脆弱性の悪用が可能。

1.0.2系列はすでにサポート対象外となっていて、一般へのリリースはない模様。
その一方、1.0.2vという有償サポートの購入者には1.0.2wがリリースされるらしい。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...