OpenSSLに脆弱性(CVE-2014-0224 SSL/TLS MITM vulnerability) が存在することが報告されました。

OpenSSLは通信の暗号化に使用されているソフトウェアであり、
PCブラウザとウェブサーバ間の通信を暗号化するために使われています。
今回発見された脆弱性を悪用された場合、通信内容の盗聴、改ざんが可能となる可能性があります。

この脆弱性はOpenSSLの初期バージョンから存在しているものですが、
最新のバージョンである1.0.1系列において実際の攻撃が可能となったものです。

Gléasのウェブ管理画面ではOpenSSL 0.9.8系のライブラリを使用していますが、
このバージョンについての有効な攻撃方法は現在のところ報告されていません。
また、クライアント証明書認証を利用している場合はこの脆弱性の影響を受けないことが、
複数の研究者により報告されています。

対策

この脆弱性はGléasの通信の安全性にただちに影響を与えるものではありませんが、
将来的にこの問題を利用した攻撃方法が解明される恐れがあるため修正パッチの適用を推奨します。

Gléas 1.11.94までの全てのバージョンが対象です。
各バージョンにおける修正パッチの適用方法については、弊社もしくは代理店までご連絡ください。

参考資料

CVE-2014-0224
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224

OpenSSL Security Advisory [05 Jun 2014]
http://www.openssl.org/news/secadv_20140605.txt

Early ChangeCipherSpec Attack (05 Jun 2014)
https://www.imperialviolet.org/2014/06/05/earlyccs.html

JVN#61247051 OpenSSL における Change Cipher Spec メッセージの処理に脆弱性
http://jvn.jp/jp/JVN61247051/index.html

OpenSSL の Man-in-the-middle 攻撃可能な脆弱性の影響
https://sect.iij.ad.jp/d/2014/06/069806.html