「OpenSSL」にセグメンテーション違反の脆弱性 ～修正版のv1.1.1gがリリース

「OpenSSL」プロジェクトが公開したセキュリティアドバイザリ

　SSL/TLSプロトコルを実装したオープンソースライブラリ「OpenSSL」の最新版v1.1.1gが、4月21日に公開された。本バージョンは、脆弱性を修正したセキュリティアップデートとなっている。

　「OpenSSL」プロジェクトが公開したセキュリティアドバイザリによると、今回修正された脆弱性は「SSL_check_chain」関数におけるセグメンテーション違反（CVE-2020-1967）の1件。「TLS 1.3」の「signature_algorithms_cert」拡張を処理する際にNULLポインター参照が発生する可能性があるという。ハンドシェイク後の通信で「SSL_check_chain()」関数が実行されるときに、サーバーまたはクライアントアプリケーションがクラッシュする可能性がある。

　脆弱性の深刻度は4段階中2番目の“High”。脆弱性ポータルサイト“JVN”によると、サービス運用妨害（DoS）攻撃に悪用される可能性があるという。「OpenSSL」を利用している開発者は、ライブラリの更新を検討すべきだろう。また、一般ユーザーも「OpenSSL」を利用するアプリのアップデートに注意し、常にバージョンを最新に保つようにしたい。

　なお、「OpenSSL 1.0.2」および 「OpenSSL 1.1.0」は本脆弱性の影響を受けないが、サポートが終了しているため今後同様の問題が起こってもパッチは提供されないため、「OpenSSL 1.1.1」へのアップグレードが推奨されている。