TLS実装の脆弱性 ROBOTO
2017/12/13にTLS実装の脆弱性が発表されました。この脆弱性はFacebookやPayPalなど有名なサイトも影響対象であり、RSA暗号の解読やトラフィックの暗号解読を目的とした鍵署名を実行できます。本脆弱性はサーバ側の問題のため、クライアント側では回避出来ないのが問題となっています。
本脆弱性の対象方法は以下となります。
各メーカの対応状況は以下となります、対象製品がある場合はメーカに指示に従ってアップデートが必要となります。
| Vendor | Status | Date Notified | Date Updated |
|---|---|---|---|
| Cisco | Affected | 15 Nov 2017 | 12 Dec 2017 |
| Citrix | Affected | 15 Nov 2017 | 12 Dec 2017 |
| Erlang | Affected | - | 12 Dec 2017 |
| F5 Networks, Inc. | Affected | 15 Nov 2017 | 20 Nov 2017 |
| Legion of the Bouncy Castle | Affected | 15 Nov 2017 | 12 Dec 2017 |
| MatrixSSL | Affected | 15 Nov 2017 | 12 Dec 2017 |
| Oracle Corporation | Affected | 15 Nov 2017 | 12 Dec 2017 |
| wolfSSL | Affected | 12 Dec 2017 | 12 Dec 2017 |
| Botan | Not Affected | 15 Nov 2017 | 20 Nov 2017 |
| Dell EMC | Not Affected | 15 Nov 2017 | 29 Nov 2017 |
| GnuTLS | Not Affected | 15 Nov 2017 | 13 Dec 2017 |
| IAIK Java Group | Not Affected | 15 Nov 2017 | 06 Dec 2017 |
| Microsoft Corporation | Not Affected | 15 Nov 2017 | 12 Dec 2017 |
| OpenSSL | Not Affected | 15 Nov 2017 | 20 Nov 2017 |
| RSA Security LLC | Not Affected | 15 Nov 2017 | 13 Dec 2017 |
最近では暗号化やSSLの問題が発表されることが多い気がします、いたちごっこになるのは仕方ないですが、改めてエンジニアはこの手の問題に注視し続ける必要があると思いました。
