ニュース
「OpenSSL」v1.1.0iが公開 ~NULLポインター参照の脆弱性に対処
DoS攻撃を受ける可能性があり、深刻度は“高”
2020年12月10日 11:00
脆弱性対策情報ポータルサイト“JVN”は12月9日、脆弱性レポート“JVNVU#91053554”を公開した。SSL/TLSプロトコルを実装したオープンソースライブラリ「OpenSSL」にNULLポインター参照の脆弱性(CVE-2020-1971)が存在するという。
レポートによると、以下のバージョンの「OpenSSL」にはX.509証明書の検証に問題があり、細工が施された証明書を処理する際にサービス運用妨害(DoS)攻撃を受ける可能性がある。最悪の場合、サーバーやクライアントアプリケーションがクラッシュする可能性があるとして、深刻度は“高”と評価されている。
- OpenSSL 1.1.1系:OpenSSL 1.1.1から1.1.1hまでのすべてのバージョン
- OpenSSL 1.0.2系:OpenSSL 1.0.2から1.0.2wまでのすべてのバージョン
それぞれ「OpenSSL 1.1.1i」「OpenSSL 1.0.2x」へのアップデートが推奨されている。「OpenSSL 1.0.2」はすでにサポートが終了しているため、有償のプレミアムサポートを経由してアップデートを受け取るか、「OpenSSL 1.1.1」へ移行する必要がある。