OpenSSLの更新版となる「OpenSSL 1.1.0a」「同1.0.2i」「同1.0.1u」が9月22日付けで公開され、深刻な脆弱性が修正された。
OpenSSLのセキュリティ情報によると、今回の更新版では14件の脆弱性に対処した。危険度はこのうち1件が、4段階評価で上から2番目の「高」に分類されている。
この脆弱性は8月29日に報告されたもので、過大なOCSPステータスリクエストを送り付ける手口でサービス妨害(DoS)攻撃を仕掛けられる恐れがある。たとえOCSPをサポートしていなくても、サーバがデフォルトの設定で影響を受けるという。
残る13件の内訳は危険度「中」が1件、「低」が12件となっている。
関連記事
OpenSSLの更新版公開、複数の脆弱性を修正
悪用された場合、リモートの攻撃者にシステムを制御されたり、中間者攻撃を仕掛けられてトラフィックの暗号を解除されたりする恐れがある。
企業のオープンソース利用急増、16件中1件に脆弱性など危険増大
企業がダウンロードしているオープンソースコンポーネントの6.1%に既知の脆弱性があり、アプリケーションのコンポーネント分析でも6.8%に脆弱性が見つかった。
OpenSSLの更新版公開、「DROWN」の脆弱性に対処
OpenSSL 1.0.2gと1.0.1sでは「DROWN」と呼ばれる新たな脆弱性が発覚したことを受け、SSLv2をデフォルトで無効にする措置を講じた。
Apple、「macOS Sierra 10.12」で深刻な脆弱性多数を修正
同時に「macOS Server 5.2」「Safari 10」「iCloud for Windows 6.0」も公開された。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.