まだ OpenSSLにセキュリティホールがあるかも知れない話
OpenSSL Gets Patch for 4-Year-Old Flaw
OpenSSL、4年前から存在する脆弱性にパッチ - インターネットコム
| OpenSSL 暗号化ライブラリ向けに、新たなパッチがリリースされた。複数の脆弱性に対応しているが、そのうちの1つは4年前から存在していたものだった。 |
とか書いてるのが、例のATM にXPが使われてることを大騒ぎしてた、Linux かぶれの Sean Michael Kerner 氏だったので、またか…と思ったのですが、
| 今回の脆弱性は、「CVE-2010-5298」として認識されているもの。National Vulnerability Database では2014年4月19日に発見されたことになっているが、実は4年前にも報告されていた古い脆弱性だ。 |
ということだったので、本当に古くから分かっていた脆弱性だった模様
| SA-14:09.openssl (CVE-2010-5298) は、OpenSSLライブラリによる使用が終わる前にバッファーが解放されてしまうことがあるため、解放されたバッファーに対して同一プロセス内の異なる SSL接続がデータを書き込むことが可能というもの。これを攻撃者が利用すると、他の接続に対してデータをインジェクションできる可能性があるという。 |
#2167: openssl-1.0.0-beta5 - fails if used from multiple threads and with SSL_MODE_RELEASE_BUFFERS
そういえば、もふったー起動中に、ライブラリ利用終了前にバッファーが解放されてしまうことがあって、OpenSSL がクラッシュするんだけど、ってメールを昔 OpenSSLに送ったのを思い出したよ・ω・
結構多いよね?こういうの
Translate
Comments