2003年06月29日 23:00 更新

OpenSSL

0.9.7b 2003年4月11日 リリース

ftp://ftp.infoscience.co.jp/pub/Crypto/
- SSL/openssl/source/openssl-0.9.7b.tar.gz
ftp://ftp.happysize.co.jp/mirror/openssl/
- source/openssl-0.9.7b.tar.gz

・ リモートで不正にRSA秘密鍵が取得されてしまう脆弱性(CAN-2003-0131)に対処された。
・ 「RSA blinding」が標準設定となった。
・ IA64アーキテクチャ上のLinuxがサポートされた。

 なお、0.9.6系列に対し同等の問題点修正が行われた。0.9.6jも同時リリースされている。

-- 2003年3月19日 リリース

 リモートから不正にRSA秘密鍵を取得できる脆弱性(CAN-2003-0131)に対処された。

 0.9.6b〜0.9.6i、0.9.7、0.9.7aに適用可能なパッチが公開されている。各Linuxディストリビューションでは、修正パッケージが用意されている。

 パッチの入手は、http://www.openssl.org/news/secadv_20030319.txtにて用意されている。

-- 2003年3月17日 リリース

 RSA blindingに関する脆弱性が発見された。この脆弱性は、ホストの秘密鍵が流出する可能性があるものだ。修正パッチが公開されたほか、各Linuxディストリビューションで修正パッケージが用意されている。なお、OpenSSLのアップデートのほか、SSLが有効なApacheなど、OpenSSLを使用しているソフトウェアもアップデートする必要がある。

 この件に関するパッチは、http://www.openssl.org/news/secadv_20030317.txtから入手可能だ。

0.9.7a/0.9.6i 2003年2月19日 リリース

ftp://ftp.infoscience.co.jp/pub/Crypto/
- SSL/openssl/source/openssl-0.9.7a.tar.gz
ftp://ftp.happysize.co.jp/mirror/openssl/
- source/openssl-0.9.7a.tar.gz

ftp://ftp.infoscience.co.jp/pub/Crypto/
- SSL/openssl/source/openssl-0.9.6i.tar.gz
ftp://ftp.happysize.co.jp/mirror/openssl/
- source/openssl-0.9.6i.tar.gz

 前バージョンのリリース以後に発見されたタイミング攻撃の脆弱性(CAN-2003-0078)などに対する修正が行われた。

OpenSSL
OpenSSLは、LinuxをはじめとするUNIX系OSで利用可能な、Secure Sockets Layer(SSL v2/v3)およびTransport Layer Security(TLS v1)のオープンソースが実装されているソフトウェア。通信の暗号化を始めとするセキュリティ機能を提供するものだ。OpenSSL自体は単体で使用されることはないが、ApacheやOpenSSHなど、SSL機能を有するソフトウェアから利用される。暗号化セキュリティを担うため、常に最新のバージョンを使うように心がける必要がある。

公式サイト
OpenSSL: The Open Source toolkit for SSL/TLS
http://www.openssl.org/

主なダウンロードサイト
ftp://ftp.win.ne.jp/pub/network/security/
- openssl/
ftp://ftp.infoscience.co.jp/pub/Crypto/SSL/
- openssl/
ftp://ftp.happysize.co.jp/mirror/openssl/