通信用語の基礎知識 全国のICカードこれひとつ 戻る

通常PC用 / 人気 更新 今日 カテ
通信 > セキュリティ >
CVE-2014-0224
辞書:電算用語の基礎知識 ソフト用語編 (PYSOFT)
読み:スィーヴィーイー-にーゼロいちよん-ゼロにーにーよん
外語:CVE-2014-0224
品詞:固有名詞

OpenSSLに存在した脆弱性の一つ。「ChangeCipherSpec(CCS) Injection Vulnerability」脆弱性。

目次
概要

MITRE社の脆弱性情報データベースCommon Vulnerabilities and Exposures(CVE)に登録されている脆弱性の一つ。

これは、OpenSSLの欠陥により、中間者攻撃に繋がる可能性があるセキュリティホールである。

1.0.0mおよび1.0.1hにて修正された。

特徴
問題

暗号化された通信が、中間者攻撃(MIMA)によって解読または改竄される可能性がある。

日本のネットワーク/セキュリティ技術・研究開発企業、レピダムの菊池正史により発見された。

原因

OpenSSLのDTLSクライアントに不正なDTLSハンドシェイクを送信することで、攻撃者の指定した弱い鍵の使用が強制される可能性があった。

この脆弱性が悪用されると、攻撃者は暗号文を盗聴したり、改竄したりすることが可能だった。

修正

セッション鍵の変更を受け入れるかどうかのフラグを用意し、変更要求発生時の拒絶処理が追加された。

修正は「Fix for CVE-2014-0224」と題されている。

リンク
関連するリンク
https://www.openssl.org/news/secadv_20140605.txt
用語の所属
OpenSSL
セキュリティホール
脆弱性

[再検索] [戻る]


通信用語の基礎知識検索システム WDIC Explorer Ver 7.04 (07-Mar-2021)
Search System : Copyright © Mirai corporation
Dictionary : Copyright © WDIC Creators club
KisoDic