OpenSSLの更新版が公開――「Heartbleedほど悪くない」

OpenSSLの更新版が予告通りに公開された。危険度「高」に分類したサービス妨害（DoS）の脆弱性など計14件の脆弱性を修正している。

[ITmedia]

OpenSSLの更新情報

　オープンソースのSSL／TLS実装ライブラリ「OpenSSL」の更新版が3月19日、予告通りに公開され、危険度「高」に分類したサービス妨害（DoS）の脆弱性を含め、計14件の脆弱性が修正された。米セキュリティ機関SANS Internet Storm Centerの専門家は「Heartbleedほどは悪くない」と解説している。

　OpenSSLのセキュリティ情報によると、危険度の高いDoSの脆弱性はOpenSSL 1.0.2のみに存在する。悪用されればサーバに対してDoS攻撃を仕掛けられる恐れがある。この問題はバージョン1.0.2aで修正された。

　また、強度の弱い輸出グレードのRSA鍵を使用させられてしまう脆弱性（通称「FREAK」）については、1月8日のセキュリティ情報で危険度「低」としていた分類を、危険度「高」に昇格させた。「輸出グレードのRSA暗号が、当初予想よりはるかに一般的にサポートされていたことが最近の研究で示されたため」と説明している。

　残る12件の脆弱性は、危険度「中程度」が9件、「低」が3件となっている。影響を受けるのは0.9.8〜1.0.2の各バージョン。それぞれ1.0.2a、1.0.1m、1.0.0r、0.9.8zfで問題が修正された。DoS攻撃に利用される恐れのある脆弱性のほか、潜在的な危険性が高いメモリ破損の脆弱性なども修正されており、「パッチ適用をあまり遅らせない方がいい」とSANSは助言している。

　Red HatやUbuntuなどの主要Linuxディストリビューションも、OpenSSLの脆弱性修正を受け、対応する更新版を公開した。