ニュース

アルファSSLからのニュースや重要な情報をお知らせしています。
アルファSSL > ニュース&プレスリリース > 2015年3月10日

SSL/TLS通信の脆弱性 "FREAK" について


2015年03月10日

FREAK (Factoring RSA Export Keys) に関する脆弱性についてご案内いたします。

SSL/TLS の実装の中には、意図して設定しなくても輸出グレード (512 ビット以下) の RSA 鍵を受け入れるものが存在します。

脆弱性 FREAK (Factoring RSA Export Keys) が利用されるとSSL/TLS通信の際に強度の弱い暗号で通信が行われるため、解読が容易となり盗聴・改ざんが可能になります。この脆弱性を利用した攻撃は、中間者攻撃が可能な状況で、かつブラウザ・サーバの双方が強度の弱い暗号(RSA Export)をサポートしていることで可能になります。

※SSL/TLS通信の脆弱性になるため、ご利用のサーバ証明書に影響はございません。証明書の再発行や失効、再設定等の対応は不要になります。 また、弊社システムは既に当該脆弱性に対応済みでございます。



【確認方法】

脆弱性のチェックサイトにアクセスし、「Good News! Your browser appears to besafe from the FREAK attack.」と表示されれば、ご利用のブラウザは脆弱性の影響を受けません。

 

【対処方法】

ご利用のウェブサーバ・ブラウザについて確認いただき対応ください。また、修正バージョンや修正プログラムのリリースについては、提供元の最新情報をご確認ください。

 

OpenSSL
OpenSSL 1.0.1k、1.0.0p、0.9.8zd 以降にバージョンアップする

 

Windows
グループポリシーエディターでOSの設定を変更する。詳細については、マイクロソフト社のセキュリティアドバイザリーをご確認ください。また、修正プログラムもリリース予定。

 

Chrome
Chrome 41 以降にバージョンアップする

 

Android Browser
利用するブラウザをChrome 41 以降に変更する

Safari (Mac OS / iOS)
修正版をリリース予定

Blackberry Browser
修正版をリリース予定

【その他】

開発者が提供する情報や CERT/CC Vulnerability Note VU#243585 の Vendor Information に掲載されている情報を参考に、ソフトウエアをアップデートしてください。

輸出グレードの暗号を使用しない
ソフトウエアの設定で、輸出グレードの暗号を使用しない設定に変更してください。

 

※上記内容は、2015年3月10日時点での情報に基づいております。


【参考


 

以上


 

to top
SSL Supported Browsers