「OpenSSL」v1.1.0cが公開。深刻度“High”を含む3件の脆弱性を修正

「OpenSSL」の公式サイト

　SSL/TLSプロトコルを実装したオープンソースライブラリ「OpenSSL」の最新版v1.1.0cが、10日に公開された。本バージョンは、脆弱性の修正を含むセキュリティアップデートとなっている。

　「OpenSSL」プロジェクトが公開したセキュリティアドバイザリによると、今回修正された脆弱性は全部で3件。脆弱性の内容は、ChaCha20/Poly1305におけるヒープバッファーオーバーフロー（CVE-2016-7054）、無効なCMS構造を処理する際のNULLポインター参照（CVE-2016-7053）、モンゴメリ乗算処理の誤り（CVE-2016-7055）となっている。それぞれの脆弱性の深刻度は順に4段階中上から2番目の“High”、3番目の“Moderate”、最低の“Low”。

　なお、“CVE-2016-7055”以外の脆弱性はv1.1.0系統のみに影響する。“CVE-2016-7055”はv1.0.2系統にも影響するが、影響が軽微なため次のリリースで修正される予定。