古いバージョンのブラウザーを使用しています。MSN を最適にご利用いただくために、サポートされているバージョンをご使用ください。

F5の「BIG-IP」にメモリ流出の脆弱性、「Heartbleed」との類似点も

ITmedia エンタープライズ のロゴ ITmedia エンタープライズ 2017/02/09
F5の「BIG-IP」にメモリ流出の脆弱性、「Heartbleed」との類似点も: F5のセキュリティ情報 © ITmedia エンタープライズ 提供 F5のセキュリティ情報

 米F5 Networksのアプライアンス「BIG-IP」シリーズ製品にメモリ流出の脆弱性が発見され、同社が2月9日にセキュリティ情報を公開した。発見者が詳細について解説した専用サイト(ticketbleed.com)も開設されている。

 F5や専用サイトの情報によると、脆弱性はBIG-IPのTLS/SSLに存在する。繰り返される接続を高速化する機能「Session Tickets」の実装に問題があり、このオプションが有効になっていると(デフォルトでは無効)、1度に最大31バイトの初期化されていないメモリが流出する可能性がある。

 リモートの攻撃者がこの問題を悪用すれば、SSLセッションIDを他のセッションから入手できてしまう恐れがある。また、他のデータを初期化されていないメモリから引き出すことも可能とされる。

 この問題は、セキュリティ企業のCloudflareが顧客から報告された不具合について調査する過程で発見し、2016年10月にF5に通報していた。Cloudflareの研究者は、「Heartbleed」と呼ばれるOpenSSLの脆弱性と類似点があることから、今回の脆弱性を「Ticketbleed」と命名。ただしHeartbleedの場合は64Kもの情報が流出する恐れがあったのに対し、Ticketbleedでは31バイトにとどまり、攻撃にも手間がかかるという。

 F5では影響を受ける製品とバージョンの一覧を公開し、修正済みのバージョンがある場合はそちらへ更新するよう呼び掛けている。また、回避策としてSession Ticketsを無効にする方法も紹介している。

ITmedia エンタープライズの関連記事

image beaconimage beaconimage beacon