6/06/2014

[IT biz] OpenSSLで再び通信全漏れの脆弱性発覚

またですか。つい先日発覚し即大問題となり、数多のSE達を地獄に叩き落としたOpenSSLの脆弱性Heartbleedがあったところですが、それとは別の脆弱性が発覚したそうで。

今度の脆弱性の内容は、特定のバージョンが合致するOpenSSLサーバとクライアント間での通信が盗聴されるというもの。対象バージョンは1.0.1と1.0.2beta。前回のHeartbleedよりは対象が狭く、その意味でマシではあるものの、当該バージョンは最も利用者の多いものなのですし、クリティカルな類の脆弱性には違いありません。

私のUbuntuサーバで使っているものもバッチリ該当。というか、つい先ほどOpenSSL周りのアップデートが配信されて、それで本件に気づいた次第なわけなのですけれども。迷惑な話です。とはいえ所詮は個人利用、アップデートを適用して再起動、で終わる程度の事ですが、無論世間一般、とりわけ業務用のサーバで利用している場合はそんな簡単な話ではあり得ないわけで。HeartBleedの件がようやく片付いた、もしくはまだ影響が残っているにも関わらずの再発に、クライアントへの弁解に窮する担当者はじめ、憤慨する向きも多数あるのでしょう。誠にご愁傷様です。

ところで、本件を報じる下記Engadgetの記事の書き方に妙な偏りを感じて気持ち悪いのです。まず、全体を通じて、要するに「大したことないから気にするな」と何故か過小評価する論旨を張っています。そして、その結論では、本件が発覚した事をして、Heartbleedの件でチェックが厳密になった結果であり、よりセキュアになるのだから歓迎すべき事、としているのですね。

何なんでしょう。本件を素直に解釈すれば、OpenSSLは致命的な脆弱性が複数存在しながら放置され続け、現状、ようやくチェックが入り出したところと見る他ないし、従って今なお脆弱性が残っている危険性は非常に高く、そのリスクを理解した上で利用には慎重を期する必要があり、そのリスクが許容出来ない場合には使用するべきではない、と理解するべきものだと思われるのですけれども。しかるにEngadgetの記事の書き方は、相対的な評価を以って絶対的な評価に擦り替えた完全な詭弁であり、無責任に利用を推奨する側に偏ったものと言えるわけで、記者がOpenSSLプロジェクトかそれを使ったソリューションを展開するSIerの回し者なのかとあらぬ疑いも抱いてしまう次第なのです。というか完全にやらかしたベンダとかが取り繕う時の論理そのものですし、後者ですかね。困ったものです。

OpenSSL bug allows hackers to see private communication

[関連記事 [IT] OpenSSLに深刻な脆弱性、通称Heartbleed]