SoftEther トップ
> ニュース リリース
2004年3月18日(木)
OpenSSL で発見された脆弱性による SoftEther
への影響について
OpenSSLプロジェクトが17日(米国時間) 発表したSSLおよびTLSプロトコルの実装系として広く普及している「OpenSSL」にDoS攻撃を許す脆弱性が見つかったことに関する
SoftEther 仮想 HUB ソフトウェアへの影響についてお知らせします。
SoftEther の最新バージョン (Version 1.0) は 2004年3月18日 (日本時間) に報道された OpenSSL
に関する脆弱性の影響は受けません。 ただし、古いバージョンの SoftEther 仮想 HUB (バージョン 0.50 Beta 3
以前) には脆弱性を含む OpenSSL のコードが含まれています。従いまして、Beta 3 以前の SoftEther
をご利用のユーザー様には、できるだけ早期にバージョン 1.0 へのアップデートをお願い申し上げます。 SoftEther
は暗号化通信を行うために SSL プロトコルを使用して通信内容を暗号化します。また、SoftEther プログラムでは暗号化ライブラリとして
OpenSSL を使用しています。 今回、OpenSSL の 0.9.6c~0.9.6l およびバージョン
0.9.7a~0.9.7c において発見された、do_change_cipher_spec()関数のnull-pointer
assignment(ヌルポインタの割り当て)に関する脆弱性につきましては、OpenSSL の最新版 0.9.7d において解消されています。
SoftEther 仮想 HUB は SSL のサーバー側プログラムとして動作する為、同脆弱性による DoS
攻撃を受ける可能性がありましたが、最新版の SoftEther Ver 1.0 では OpenSSL の最新バージョンである 0.9.7d
を採用しておりますので、同脆弱性による影響を受けることはありません。 なお、SoftEther Version 0.50
(Beta 3) は OpenSSL 0.9.7c のコードを含んでいます。従いまして、同脆弱性による攻撃を受け、仮想 HUB サービスが停止
(クラッシュ) する可能性があります。古いバージョンの SoftEther 仮想 HUB を運用されている場合は、できる限り早期に
SoftEther Ver 1.0 にアップグレードしていただきますよう、お願いいたします。 (関連ニュースリリース)
(参考資料)
|