オープンソース

GnuTLSに脆弱性、修正版がリリース

SSL/TLSのフリーなライブラリ実装、GnuTLSに脆弱性が発見された。CVE-2014-3466にて指摘されている。

この脆弱性は、TLS/SSLハンドシェイクに対する解析方法に問題があり、不正なセッションIDを送りつけることにより、クラッシュを引き起こしたり、任意のコードを実行される可能性があるという。

この脆弱性は、5月30日付けでリリースされたGnuTLS 3.3.3/3.2.15/3.1.25で修正されている(5月31日には他の脆弱性を修正したGnuTLS 3.3.4がリリースされている)これらはWebサイトからダウンロードできる。各ベンダからも修正されたバージョンのパッケージが配布されており、アップデートが強く推奨される。

(川原 龍人/びぎねっと)

[関連リンク]
GnuTLS
CVE-2014-3466