セキュリティ情報

「OpenSSL 1.0.1」に楕円暗号P-256鍵が復元される脆弱性

OpenSSLのバージョン「1.0.1t」およびそれ以前のバージョンに脆弱性が発表された。

今回の脆弱性は、サイドチャネルへの攻撃によって、楕円暗号P-256鍵が復元されてしまう危険があるというもの(CVE-2016-7056)。重大な脆弱性であるため、OpenSSLの利用者は対応が必要となる。なお、OpenSSL 1.0.1系列およびそれ以前のバージョンはサポートが打ち切りになっているため、各Linuxディストリビューションのベンダーが対応に当たっている。ユーザは、1.0.2または1.1.0系列へのアップデートも含め、検討および対応が推奨される。

(川原 龍人/びぎねっと)

[関連リンク]
Cryptology ePrint Archive