通信用語の基礎知識 IPv4
戻る
全国のICカードこれひとつ

CVE-2014-0224

辞書:電算用語の基礎知識 ソフト用語編 (PYSOFT)
読み:スィーヴィーイー・にーゼロいちよん・ゼロにーにーよん
外語:CVE-2014-0224 英語
品詞:固有名詞
2014/08/05 作成

OpenSSLに存在した脆弱性の一つ。「ChangeCipherSpec(CCS) Injection Vulnerability」脆弱性。

MITRE社の脆弱性情報データベースCommon Vulnerabilities and Exposures(CVE)に登録されている脆弱性の一つ。

これは、OpenSSLの欠陥により、中間者攻撃に繋がる可能性があるセキュリティホールである。

  • 影響
    • OpenSSL 0.9.8 ‐ 0.9.8y (0.9.8zaより前)
    • OpenSSL 1.0.0 ‐ 1.0.0l (1.0.0mより前)
    • OpenSSL 1.0.1 ‐ 1.0.1g (1.0.1hより前)
  • 他の符号
    • JVN#61247051

1.0.0mおよび1.0.1hにて修正された。

問題

暗号化された通信が、中間者攻撃(MIMA)によって解読または改竄される可能性がある。

日本のネットワーク/セキュリティ技術・研究開発企業、レピダムの菊池正史により発見された。

原因

OpenSSLのDTLSクライアントに不正なDTLSハンドシェイクを送信することで、攻撃者の指定した弱い鍵の使用が強制される可能性があった。

この脆弱性が悪用されると、攻撃者は暗号文を盗聴したり、改竄したりすることが可能だった。

修正

セッション鍵の変更を受け入れるかどうかのフラグを用意し、変更要求発生時の拒絶処理が追加された。

修正は「Fix for CVE-2014-0224」と題されている。

コメントなどを投稿するフォームは、日本語対応時のみ表示されます


KisoDic通信用語の基礎知識検索システム WDIC Explorer Version 7.04 (07-Mar-2021)
Search System : Copyright © Mirai corporation
Dictionary : Copyright © WDIC Creators club