Asayomu Tech
注目★★★★GitHub Advisory

QUIC の TLS 検証機能が完全に無効化、man-in-the-middle 攻撃に脆弱

30秒で把握

  • 1QUIC クライアントの TLS 検証機能が実装されておらず、シグネチャ検証・証明書チェーン検証・ホスト名照合が無効化
  • 2HTTP/3 も同じコードで影響受領・man-in-the-middle 攻撃で任意サーバーに成りすまし可能・機密性と完全性を喪失
  • 3バージョン 1.4.4 で修正完了・本番環境は即更新・証明書チェーンが OS ストアに含まれることを確認

要約

QUIC クライアントが TLS 1.3 ハンドシェイク時にサーバー認証を実施していなかった。CertificateVerify シグネチャ検証、証明書チェーン検証、ホスト名検証がすべて機能せず、接続相手の身元が検証されていなかった。HTTP/3 も同じコードベースであるため同様に脆弱だった。ネットワーク上の攻撃者は任意の証明書を提示して任意のサーバーに成りすまし、通信の機密性と完全性を破ることが可能だった。

あなたへの影響

この記事が日本のエンジニアに与える影響と、今日取るべきアクションは、Personal会員向けに掲載しています。

7日間無料で読む

クレカ不要・いつでも解約

詳細を読む → 元記事へ※ 本文は元記事をご確認ください (asayomu は要約のみ提供)

関連する記事

※ 外部記事の権利は原著作者に帰属します。著作権削除要請は copyright@asayomu.jp までご連絡ください(受領確認 24h・実処理 72h 以内)。