ニュース

「OpenSSL」に脆弱性、深刻度がもっとも高い“High”の脆弱性2件を警告

修正が施されたv1.0.2a、v1.0.1m、v1.0.0r、v0.9.8zfが公開

 SSL/TLSプロトコルを実装したオープンソースライブラリ「OpenSSL」の最新版が、19日に公開された。現在、「OpenSSL」プロジェクトの公式サイトからv1.0.2a、v1.0.1m、v1.0.0r、v0.9.8zfがダウンロード可能。

 「OpenSSL」プロジェクトが公開したセキュリティアドバイザリによると、CVE番号ベースで14件の脆弱性が報告されている。このうち、「OpenSSL」プロジェクトにより深刻度が3段階中最高の“High”と評価されているのは2件。

 1つはサービス運用妨害(DoS)攻撃に悪用される恐れがある脆弱性(CVE-2015-0291)で、「OpenSSL」v1.0.2にのみ影響する。もう一つはRSA暗号が強度の弱い輸出グレードのものへ意図せずダウングレードされてしまう脆弱性(CVE-2015-0204)で、v1.0.1/1.0.0/0.9.8に影響する。なお、CVE-2015-0204は1月8日に公開されたバージョンで修正済みだが、その後の調査の結果、強度の弱い輸出グレードのRSA暗号を利用しているサーバーが想定より多いことが判明したことから、深刻度の評価が“Low”から“High”へと引き上げられている。

 なお、「OpenSSL」のv1.0.0系統とv0.9.8系統のサポートは2015年12月31日で終了する。これらのバージョンを利用中のユーザーは、アップデートを検討してほしい。

(樽井 秀人)