OpenSSLの脆弱性を修正する更新版の「OpenSSL 1.1.0c」が11月10日付で公開された。サービス妨害(DoS)攻撃に利用される恐れもあり、米セキュリティ機関のUS-CERTはユーザーや管理者に更新版の適用を呼び掛けている。
OpenSSLのセキュリティ情報によると、今回の更新ではバージョン1.1.0に存在する3件の脆弱性を修正した。このうち危険度「高」に分類された脆弱性は、共通鍵暗号方式「CHACHA20-POLY1305」のヒープバッファオーバーフロー問題に起因する。悪用されればDoS状態を誘発され、OpenSSLがクラッシュする恐れがある。
残る2件の脆弱性の危険度は、それぞれ「中」「低」に分類されている。
関連記事
- OpenSSLにまた更新版、前回更新版に深刻な脆弱性
米国時間9月22日に公開されたパッチのうち、一部に問題が見つかった。 - OpenSSLの更新版公開、DoSの脆弱性など修正
「OpenSSL 1.1.0a」「同1.0.2i」「同1.0.1u」が公開され、14件の脆弱性が修正された。 - OpenSSLの更新版公開、複数の脆弱性を修正
悪用された場合、リモートの攻撃者にシステムを制御されたり、中間者攻撃を仕掛けられてトラフィックの暗号を解除されたりする恐れがある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.