ニュース

「OpenSSL」に2件の脆弱性、修正を施した最新版が公開

昨年大きな話題になった“Logjam”攻撃への緩和策も

 SSL/TLSプロトコルを実装したオープンソースライブラリ「OpenSSL」の最新版が、28日に公開された。深刻度が同プロジェクトの基準で3段階中最高の“High”と判定された致命的な脆弱性1件(CVE-2016-0701)を含む2件の脆弱性が修正されえている。

 「OpenSSL」プロジェクトが公開したセキュリティアドバイザリによると、「OpenSSL」v1.0.2系統には、DH(Diffie-Hellman)パラメーターを生成する際に“安全でない”素数が利用されるケースがあり、“small subgroup”攻撃を受ける恐れがあるという。また、SSLv2が無効化された暗号化方式をブロックしない脆弱性(CVE-2015-3197)も存在する。これはv1.0.2とv1.0.1系統に影響するとのことで、深刻度は“Low”と判定されている。

 そのほかにも、昨年大きな話題になった“Logjam”攻撃への緩和策が追加されている。

 なお、「OpenSSL」のv1.0.0系統とv0.9.8系統のサポートは2015年12月31日で終了しているので注意。これらのバージョンに対してはセキュリティアップデートは提供されない。また、v1.0.1系統も2016年12月31日でサポートが打ち切られる。

(樽井 秀人)