ニュース

「OpenSSL」に2件の脆弱性、深刻度は“高” ~「OpenSSL 1.1.1k」への更新を

不正なCA証明書を受け入れてしまう可能性

脆弱性レポート“JVNVU#92126369”

 脆弱性対策情報ポータルサイト“JVN”は3月26日、脆弱性レポート“JVNVU#92126369”を公開した。SSL/TLSプロトコルを実装したオープンソースライブラリ「OpenSSL」に複数の脆弱性が存在するという。

 レポートによると、今回公表された脆弱性は2件。深刻度は“高(High)”と評価されている。

  • CVE-2021-3449:SSL/TLSハンドシェイクの再ネゴシエーション処理におけるNULLポインター参照。クライアントから特別に細工されたClientHello再ネゴシエーションメッセージを受け取るとクラッシュさせられたり、サービス運用妨害(DoS)状態にされる可能性がある。OpenSSL 1.1.1系の全てのバージョンに影響
  • CVE-2021-3450:X509_V_FLAG_X509_STRICTフラグ設定時のCA証明書検証不備。不正なCA証明書を受け入れてしまう可能性がある。OpenSSL 1.1.1hから1.1.1jまでのバージョンに影響

 利用中の場合は、「OpenSSL 1.1.1k」へアップデートする必要がある。なお、「OpenSSL 1.0.1」系統および「OpenSSL 1.0.2」系統はすでにサポートが終了しているため、アップデートは提供されていない。有償のプレミアムサポートを経由してアップデートを受け取るか、「OpenSSL 1.1.1」へ移行する必要がある。