1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. 「OpenSSL」が深刻な脆弱性を修正した更新版を公開

「OpenSSL」が深刻な脆弱性を修正した更新版を公開

「OpenSSL」が深刻な脆弱性を修正した更新版を公開暗号化通信のプロトコルSSL/TLSに対応した、オープンソースのライブラリーであるOpenSSLの更新版が、3月19日、公開された。OpenSSLの「1.0.2」「1.0.1」「1.0.0」「0.9.8」のすべてのバージョンが影響を受ける可能性がある。

なお、脆弱性を修正したバージョン「1.0.2a」「1.0.1m」「1.0.0r」「0.9.8zf」が公開されており、管理者は、脆弱性を修正した最新版のプログラムにアップグレードすることが推奨される。

OpenSSLプロジェクトから公開されたセキュリティ情報(OpenSSL Security Advisory [19 Mar 2015])によると、危険度「高」2件を含む計14件の脆弱性が修正されている。危険度「高」のDoS攻撃に悪用される可能性がある脆弱性(CVE-2015-0291)は、バージョン「1.0.2」にのみ影響する。この問題は、「1.0.2a」で修正されている。

もう1件の「高」は、RSA暗号が強度の弱い輸出グレードのものへ意図せずダウングレードされてしまう「FREAK」と呼ばれる脆弱性(CVE-2015-0204)で、これはバージョン「1.0.1」「1.0.0」「0.9.8」に影響する。この脆弱性は、2015年1月8日時点で修正されており、同日に公開されたセキュリティ情報では危険度「低」に分類されていたものの、今回の3月19日付セキュリティ情報において危険度「高」に引き上げられている。

残る12件の脆弱性は、危険度「中」が9件、「低」が3件となっている。なお、バージョン「1.0.0」「0.9.8」系のサポートは2015年12月31日で終了するということで、これらのバージョンを利用中のユーザーは、アップデートを検討する必要がありそうだ。

・(英文)OpenSSL Security Advisory [19 Mar 2015]
OpenSSL に複数の脆弱性(JVNVU#95877131)
「OpenSSL」に脆弱性、深刻度がもっとも高い"High"の脆弱性2件を警告(窓の杜)
OpenSSLの更新版が公開――「Heartbleedほど悪くない」(ITmedia)

関連キーワード:

DoS攻撃

FREAK

RSA暗号

脆弱性

  • マイナンバー(個人番号)とは
  • カテゴリートップへ
  • IoT(Internet of Things)とは