新着情報

OpenSSLにおけるCCS Injection脆弱性について(お知らせ)


各種報道などで取り上げられておりますOpenSSLにおけるChange Cipher Specメッセージ処理の脆弱性ですが、Centeミドルウェア セキュリティ製品である「Cente SSL」に本脆弱性が該当いたします。

・脆弱性についての情報(情報処理推進機構:IPA)

http://www.ipa.go.jp/security/ciadr/vul/20140606-jvn.html

・OpenSSL Security Advisory [05 Jun 2014] SSL/TLS MITM vulnerability (CVE-2014-0224)

http://www.openssl.org/news/secadv_20140605.txt

今回の脆弱性は、OpenSSLがハンドシェーク中に不適切な状態でChangeCipherSpecを受理してしまうことにより、攻撃者が通信を解読・改竄が可能となってしまうものです。

保守サポートご契約中のお客様で、本脆弱性に対する修正パッチをご希望の方はCenteサポートまでお問合せください。

<その他の脆弱性について>

OpenSSL Security Advisoryによるその他の件は、Cente SSLがベースとした0.9.7dより後に実装された機能についてのもので、Cente SSLには該当いたしません。

また、Change Cipher Specメッセージ処理の脆弱性を含む今回の7件は、どれもOpenSSLの実装の問題であり、下記のCente Compact系セキュリティ製品は該当いたしません。

  • Cente Compact SSLc
  • Cente Compact SSLd
  • Cente Compact DTLSc
  • Cente Compact DTLSd

詳細はお問い合わせ窓口よりお問い合わせください。