注目★★★★★GitHub Advisory
QUIC の TLS 検証機能が完全に無効化、man-in-the-middle 攻撃に脆弱
30秒で把握
- 1QUIC クライアントの TLS 検証機能が実装されておらず、シグネチャ検証・証明書チェーン検証・ホスト名照合が無効化
- 2HTTP/3 も同じコードで影響受領・man-in-the-middle 攻撃で任意サーバーに成りすまし可能・機密性と完全性を喪失
- 3バージョン 1.4.4 で修正完了・本番環境は即更新・証明書チェーンが OS ストアに含まれることを確認
要約
QUIC クライアントが TLS 1.3 ハンドシェイク時にサーバー認証を実施していなかった。CertificateVerify シグネチャ検証、証明書チェーン検証、ホスト名検証がすべて機能せず、接続相手の身元が検証されていなかった。HTTP/3 も同じコードベースであるため同様に脆弱だった。ネットワーク上の攻撃者は任意の証明書を提示して任意のサーバーに成りすまし、通信の機密性と完全性を破ることが可能だった。
あなたへの影響
この記事が日本のエンジニアに与える影響と、今日取るべきアクションは、Personal会員向けに掲載しています。
クレカ不要・いつでも解約