OpenSSLの更新版が公開、8件の脆弱性に対処

DoSの誘発につながる深刻度「中」に分類された脆弱性など解決した。

[ITmedia]

　オープンソースのSSL／TLS実装ライブラリ「OpenSSL」の更新版が米国時間の1月8日に公開された。更新版ではサービス妨害（DoS）攻撃につながる深刻度「中」の脆弱性など、8件の脆弱性を解決している。

　公開された更新版はOpenSSL1.0.1k、1.0.0p、0.9.8zd。OpenSSLのセキュリティ情報によると、解決した脆弱性のうち2件は深刻度「中」に分類され、細工されたDTLSメッセージを送りつけられるなどにより、DoS状態を誘発されてしまうという。

　残る6件は深刻度「低」に分類される。米セキュリティ機関のSANS Internet Storm Centerは、いずれも悪用が困難か、影響が未知数としてアップグレードを急ぐ必要はないとした。

　これらの脆弱性はOpenSSL 1.0.1系／1.0.0系／0.9.8系に影響を受ける（一部の脆弱性は0.9.8系では影響を受けない）として、ユーザーに更新版へのアップグレードが呼び掛けられた。なお、OpenSSLでは1.0.0系と0.9.8系のサポートが2015年12月31日に終了するため、これらのユーザーには1.0.1系へのアップグレードも推奨されている。