OpenSSLに2件の脆弱性が見つかり、最新バージョンへのアップグレードなどが勧告されている。
オープンソースのSSL/TLSツールキット「OpenSSL」に2件の脆弱性が発見された。悪用されるとリモートからコードを実行される恐れがあるとして、US-CERTはユーザーに対し、アップグレードなどの対処を取るよう促している。
OpenSSLプロジェクトが10月12日に公開したアドバイザリーによると、脆弱性のうち1件はOpenSSLのDTLS(Datagram Transport Layer Security)インプリメンテーションに存在し、DTLSを有効にしたクライアントとサーバが制御される恐れがある。
この脆弱性が存在するのは、バージョン0.9.8fより前の0.9.8の全リリース。対処方法としては、最新バージョンの0.9.8fにアップグレードするか、DTLSを無効にすることが望ましい。
もう1つの脆弱性は、ログ記録やデバッグに使われる「SSL_get_shared_ciphers()」機能のエラーに起因し、深刻度などは不明だ。影響を受けるのは、バージョン0.9.8fより前の0.9.8の全リリースと、バージョン0.9.7mより前の0.9.7の全リリース。
OpenSSLチームでは、SSL_get_shared_ciphers()機能を利用しないか、0.9.8fにアップグレードするよう呼びかけている。
Copyright © ITmedia, Inc. All Rights Reserved.