米国時間9月22日に公開されたパッチのうち、一部に問題が見つかった。
OpenSSLの開発元は米国時間9月26日、更新版となる「OpenSSL 1.1.0b」「同1.0.2j」をリリースした。OpenSSLでは22日に更新版が公開されたばかりだが、このうち「同1.1.0a」「同1.0.2i」に問題が判明した。
開発元やJPCERT コーディネーションセンターによると、1.1.0aには細工されたメッセージを送り付けられることにより、第三者に任意のコードが実行可能な脆弱性が存在する。悪用された場合、DoS(サービス妨害)攻撃が行われる恐れがあり、危険度は「深刻」に指定されている。
また1.0.2iには、1.1.0から実装されていたCRLの健全性チェックが除外されたことによるバグが存在する。CRLのチェックを試みることで、システムがクラッシュする恐れがあり、危険度は「中」に指定されている。
開発元は1.1.0a、1.0.2iのユーザーに更新版の適用を呼び掛けている。
Copyright © ITmedia, Inc. All Rights Reserved.