「OpenSSL」が深刻な脆弱性を修正した更新版を公開
暗号化通信のプロトコルSSL/TLSに対応した、オープンソースのライブラリーであるOpenSSLの更新版が、3月19日、公開された。OpenSSLの「1.0.2」「1.0.1」「1.0.0」「0.9.8」のすべてのバージョンが影響を受ける可能性がある。
なお、脆弱性を修正したバージョン「1.0.2a」「1.0.1m」「1.0.0r」「0.9.8zf」が公開されており、管理者は、脆弱性を修正した最新版のプログラムにアップグレードすることが推奨される。
OpenSSLプロジェクトから公開されたセキュリティ情報(OpenSSL Security Advisory [19 Mar 2015])によると、危険度「高」2件を含む計14件の脆弱性が修正されている。危険度「高」のDoS攻撃に悪用される可能性がある脆弱性(CVE-2015-0291)は、バージョン「1.0.2」にのみ影響する。この問題は、「1.0.2a」で修正されている。
もう1件の「高」は、RSA暗号が強度の弱い輸出グレードのものへ意図せずダウングレードされてしまう「FREAK」と呼ばれる脆弱性(CVE-2015-0204)で、これはバージョン「1.0.1」「1.0.0」「0.9.8」に影響する。この脆弱性は、2015年1月8日時点で修正されており、同日に公開されたセキュリティ情報では危険度「低」に分類されていたものの、今回の3月19日付セキュリティ情報において危険度「高」に引き上げられている。
残る12件の脆弱性は、危険度「中」が9件、「低」が3件となっている。なお、バージョン「1.0.0」「0.9.8」系のサポートは2015年12月31日で終了するということで、これらのバージョンを利用中のユーザーは、アップデートを検討する必要がありそうだ。
・(英文)OpenSSL Security Advisory [19 Mar 2015]
・OpenSSL に複数の脆弱性(JVNVU#95877131)
・「OpenSSL」に脆弱性、深刻度がもっとも高い"High"の脆弱性2件を警告(窓の杜)
・OpenSSLの更新版が公開――「Heartbleedほど悪くない」(ITmedia)
-
- 2019年11月27日
- Androidスマホの一部に、勝手に写真や音声などを盗み出される脆弱性が確認される
-
- 2019年11月14日
- 10月はSMSを悪用したフィッシングの手口を引き続き確認
-
- 2019年11月12日
- 顧客満足度調査を装う三井住友銀行のフィッシングに注意喚起
-
- 2019年11月 5日
- CBESTとは