OpenSSLにまた更新版、前回更新版に深刻な脆弱性

米国時間9月22日に公開されたパッチのうち、一部に問題が見つかった。

» 2016年09月28日 16時28分 公開
[ITmedia]
OpenSSLの注意喚起

 OpenSSLの開発元は米国時間9月26日、更新版となる「OpenSSL 1.1.0b」「同1.0.2j」をリリースした。OpenSSLでは22日に更新版が公開されたばかりだが、このうち「同1.1.0a」「同1.0.2i」に問題が判明した。

 開発元やJPCERT コーディネーションセンターによると、1.1.0aには細工されたメッセージを送り付けられることにより、第三者に任意のコードが実行可能な脆弱性が存在する。悪用された場合、DoS(サービス妨害)攻撃が行われる恐れがあり、危険度は「深刻」に指定されている。

 また1.0.2iには、1.1.0から実装されていたCRLの健全性チェックが除外されたことによるバグが存在する。CRLのチェックを試みることで、システムがクラッシュする恐れがあり、危険度は「中」に指定されている。

 開発元は1.1.0a、1.0.2iのユーザーに更新版の適用を呼び掛けている。

問題を修正した更新版はOpenSSL 1.1.0bと1.0.2jになる

Copyright © ITmedia, Inc. All Rights Reserved.