「OpenSSL」に2件の脆弱性、深刻度は“高” ～「OpenSSL 1.1.1k」への更新を

脆弱性レポート“JVNVU#92126369”

　脆弱性対策情報ポータルサイト“JVN”は3月26日、脆弱性レポート“JVNVU#92126369”を公開した。SSL/TLSプロトコルを実装したオープンソースライブラリ「OpenSSL」に複数の脆弱性が存在するという。

　レポートによると、今回公表された脆弱性は2件。深刻度は“高（High）”と評価されている。

• CVE-2021-3449：SSL/TLSハンドシェイクの再ネゴシエーション処理におけるNULLポインター参照。クライアントから特別に細工されたClientHello再ネゴシエーションメッセージを受け取るとクラッシュさせられたり、サービス運用妨害（DoS）状態にされる可能性がある。OpenSSL 1.1.1系の全てのバージョンに影響
• CVE-2021-3450：X509_V_FLAG_X509_STRICTフラグ設定時のCA証明書検証不備。不正なCA証明書を受け入れてしまう可能性がある。OpenSSL 1.1.1hから1.1.1jまでのバージョンに影響

　利用中の場合は、「OpenSSL 1.1.1k」へアップデートする必要がある。なお、「OpenSSL 1.0.1」系統および「OpenSSL 1.0.2」系統はすでにサポートが終了しているため、アップデートは提供されていない。有償のプレミアムサポートを経由してアップデートを受け取るか、「OpenSSL 1.1.1」へ移行する必要がある。