オープンソースの SSL/TLS 実装ライブラリ OpenSSL に新たな脆弱性が見つかり、6月5日(米国時間)に修正パッチがリリースされています。
今回の脆弱性はサーバとクライアントの両方が影響を受け、OpenSSL で保護していたはずの情報が漏えいする恐れがあるとのことです。
OpenSSL は同日公開したセキュリティ情報で、6件の脆弱性を修正したことを明らかにしました。
中でも SSL/TLS の中間者攻撃の脆弱性は、攻撃者にクライアントとサーバ間のトラフィックの暗号を解除され改竄される恐れがあるため、早急なアップデートを勧告しています。
サーバでは OpenSSL1.0.1/1.0.2-beta1 のみに影響が確認されているが、1.0.1より前のバージョンを使っている場合も念のためにアップグレードするよう勧告しています。
こちらでアップデートを行った際に、OpenSSL のバージョンが1.0.1だけではなく、0.9.8eでもアップデートが行われること確認できています。
影響内容や詳細については、下記の関連リンクからも確認ができます。
CCS Injection Vulnerability
OpenSSL の脆弱性は影響が極めて広範に及ぶため、早急な対応(パッチを適用するように)を呼びかけているようです。
関連リンク
CCS Injection脆弱性(CVE-2014-0224)の概要・対策・発見経緯について
http://lepidum.co.jp/news/2014-06-05/news-CCS-Injection/
OpenSSL
http://www.openssl.org/
OpenSSL Security Advisory [05 Jun 2014]
http://www.openssl.org/news/secadv_20140605.txt