OpenSSLの開発元は米国時間9月26日、更新版となる「OpenSSL 1.1.0b」「同1.0.2j」をリリースした。OpenSSLでは22日に更新版が公開されたばかりだが、このうち「同1.1.0a」「同1.0.2i」に問題が判明した。
開発元やJPCERT コーディネーションセンターによると、1.1.0aには細工されたメッセージを送り付けられることにより、第三者に任意のコードが実行可能な脆弱性が存在する。悪用された場合、DoS(サービス妨害)攻撃が行われる恐れがあり、危険度は「深刻」に指定されている。
また1.0.2iには、1.1.0から実装されていたCRLの健全性チェックが除外されたことによるバグが存在する。CRLのチェックを試みることで、システムがクラッシュする恐れがあり、危険度は「中」に指定されている。
開発元は1.1.0a、1.0.2iのユーザーに更新版の適用を呼び掛けている。
関連記事
- OpenSSLの更新版公開、DoSの脆弱性など修正
「OpenSSL 1.1.0a」「同1.0.2i」「同1.0.1u」が公開され、14件の脆弱性が修正された。 - 企業のオープンソース利用急増、16件中1件に脆弱性など危険増大
企業がダウンロードしているオープンソースコンポーネントの6.1%に既知の脆弱性があり、アプリケーションのコンポーネント分析でも6.8%に脆弱性が見つかった。 - 画像処理ツール「ImageMagick」に脆弱性、広い範囲に影響の恐れ
PHP、Ruby、NodeJS、Pythonなど多数のプログラミング言語にも使われているImageMagicに脆弱性が見つかった。 - ソフトウェア脆弱性対策の効率化に向けて着手――IPAとSAMAC
脆弱性の影響を受ける製品の調査やパッチ適用などの対応作業が煩雑になっている現状を踏まえ、IPAとSAMACが情報連携による作業効率化のための取り組みに着手する。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.