「OpenSSL」に2件の脆弱性、修正を施した最新版が公開

　SSL/TLSプロトコルを実装したオープンソースライブラリ「OpenSSL」の最新版が、28日に公開された。深刻度が同プロジェクトの基準で3段階中最高の“High”と判定された致命的な脆弱性1件（CVE-2016-0701）を含む2件の脆弱性が修正されえている。

　「OpenSSL」プロジェクトが公開したセキュリティアドバイザリによると、「OpenSSL」v1.0.2系統には、DH（Diffie-Hellman）パラメーターを生成する際に“安全でない”素数が利用されるケースがあり、“small subgroup”攻撃を受ける恐れがあるという。また、SSLv2が無効化された暗号化方式をブロックしない脆弱性（CVE-2015-3197）も存在する。これはv1.0.2とv1.0.1系統に影響するとのことで、深刻度は“Low”と判定されている。

　そのほかにも、昨年大きな話題になった“Logjam”攻撃への緩和策が追加されている。

　なお、「OpenSSL」のv1.0.0系統とv0.9.8系統のサポートは2015年12月31日で終了しているので注意。これらのバージョンに対してはセキュリティアップデートは提供されない。また、v1.0.1系統も2016年12月31日でサポートが打ち切られる。