ニュース
「OpenSSL」v1.1.0cが公開。深刻度“High”を含む3件の脆弱性を修正
“CVE-2016-7055”はv1.0.2にも影響するが影響が軽微なため修正版のリリースは先送り
2016年11月11日 17:06
SSL/TLSプロトコルを実装したオープンソースライブラリ「OpenSSL」の最新版v1.1.0cが、10日に公開された。本バージョンは、脆弱性の修正を含むセキュリティアップデートとなっている。
「OpenSSL」プロジェクトが公開したセキュリティアドバイザリによると、今回修正された脆弱性は全部で3件。脆弱性の内容は、ChaCha20/Poly1305におけるヒープバッファーオーバーフロー(CVE-2016-7054)、無効なCMS構造を処理する際のNULLポインター参照(CVE-2016-7053)、モンゴメリ乗算処理の誤り(CVE-2016-7055)となっている。それぞれの脆弱性の深刻度は順に4段階中上から2番目の“High”、3番目の“Moderate”、最低の“Low”。
なお、“CVE-2016-7055”以外の脆弱性はv1.1.0系統のみに影響する。“CVE-2016-7055”はv1.0.2系統にも影響するが、影響が軽微なため次のリリースで修正される予定。