ニュース

22日にリリースされた「OpenSSL」のアップデートに脆弱性、v1.1.0b/v1.0.2jが公開

“Critical”を含む2件の脆弱性が修正される

「OpenSSL」プロジェクトが公開したセキュリティアドバイザリ

 SSL/TLSプロトコルを実装したオープンソースライブラリ「OpenSSL」の最新版v1.1.0bおよびv1.0.2jが、26日に公開された。本バージョンは、脆弱性の修正を含むセキュリティアップデートとなっている。

 「OpenSSL」プロジェクトが公開したセキュリティアドバイザリによると、今回修正された脆弱性は全部で2件。いずれも22日付けでリリースされたアップデートによって引き起こされたものだ。

 1つ目(CVE-2016-6309)は解放済みメモリ使用(Use-after-free)の脆弱性で、v1.1.0aに影響する。最悪の場合、任意のコードが実行可能になる恐れがある。深刻度は同プロジェクトの基準で4段階中最高の“Critical”と判定されており、v1.1.0bへ更新する必要がある。

 2つ目(CVE-2016-7052)は、証明書失効リストの健全性を確認する処理における不具合で、v1.0.2iではNullポインター例外により「OpenSSL」が必ずクラッシュする。この脆弱性の深刻度は4段階で上から3番目の“Moderate”とされており、v1.0.2へのアップデートが推奨されている。