OpenSSLにおけるCCS Injection脆弱性について（お知らせ）

2014-06-12 新着情報

各種報道などで取り上げられておりますOpenSSLにおけるChange Cipher Specメッセージ処理の脆弱性ですが、Centeミドルウェア　セキュリティ製品である「Cente SSL」に本脆弱性が該当いたします。

・脆弱性についての情報（情報処理推進機構：IPA）

・OpenSSL Security Advisory [05 Jun 2014] SSL/TLS MITM vulnerability (CVE-2014-0224)

今回の脆弱性は、OpenSSLがハンドシェーク中に不適切な状態でChangeCipherSpecを受理してしまうことにより、攻撃者が通信を解読・改竄が可能となってしまうものです。

保守サポートご契約中のお客様で、本脆弱性に対する修正パッチをご希望の方はCenteサポートまでお問合せください。

＜その他の脆弱性について＞

OpenSSL Security Advisoryによるその他の件は、Cente SSLがベースとした0.9.7dより後に実装された機能についてのもので、Cente SSLには該当いたしません。

また、Change Cipher Specメッセージ処理の脆弱性を含む今回の7件は、どれもOpenSSLの実装の問題であり、下記のCente Compact系セキュリティ製品は該当いたしません。

詳細はお問い合わせ窓口よりお問い合わせください。