「OpenSSL」v1.1.0iが公開 ～NULLポインター参照の脆弱性に対処

脆弱性レポート“JVNVU#91053554”

　脆弱性対策情報ポータルサイト“JVN”は12月9日、脆弱性レポート“JVNVU#91053554”を公開した。SSL/TLSプロトコルを実装したオープンソースライブラリ「OpenSSL」にNULLポインター参照の脆弱性（CVE-2020-1971）が存在するという。

　レポートによると、以下のバージョンの「OpenSSL」にはX.509証明書の検証に問題があり、細工が施された証明書を処理する際にサービス運用妨害（DoS）攻撃を受ける可能性がある。最悪の場合、サーバーやクライアントアプリケーションがクラッシュする可能性があるとして、深刻度は“高”と評価されている。

• OpenSSL 1.1.1系：OpenSSL 1.1.1から1.1.1hまでのすべてのバージョン
• OpenSSL 1.0.2系：OpenSSL 1.0.2から1.0.2wまでのすべてのバージョン

　それぞれ「OpenSSL 1.1.1i」「OpenSSL 1.0.2x」へのアップデートが推奨されている。「OpenSSL 1.0.2」はすでにサポートが終了しているため、有償のプレミアムサポートを経由してアップデートを受け取るか、「OpenSSL 1.1.1」へ移行する必要がある。