一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は3月2日、「OpenSSLの複数の脆弱性に関する注意喚起」を発行。OpenSSL Projectが提供するOpenSSLに複数の脆弱性があるとして、ユーザーに対応を呼びかけている。
今回発表された脆弱性 (CVE-2016-0800) は、該当するバージョンのOpenSSLを用いて、SSLv2を利用可能としている場合に、遠隔の第三者によって、秘密鍵などの重要な情報を取得される可能性があるというもの。JPCERT/CCでは、該当バージョンのOpenSSLを使用している環境では、OpenSSL Projectが公開している脆弱性を修正したバージョンのOpenSSLを、十分なテストを実施の上、適用することを勧告している。
今回発表の脆弱性を含むバージョンと、その修正バージョンは次表のとおり。
| 脆弱性を含むバージョン | 修正バージョン |
|---|---|
| OpenSSL 1.0.1rおよびそれ以前の1.0.1系列 | OpenSSL 1.0.1s |
| OpenSSL 1.0.2fおよびそれ以前の1.0.2系列 | OpenSSL 1.0.2g |
今回の脆弱性の回避策として、修正済みバージョンの適用が困難な場合には、SSLv2を無効にすることを検討してほしいと、JPCERT/CCでは述べている。
なお、OpenSSL 0.9.8系列および1.0.0系列は、2015年12月31日でサポートを終了しており、今後修正済みのバージョンは提供されない。
【関連リンク】
・JPCERT/CC「OpenSSLの複数の脆弱性に関する注意喚起」
・OpenSSL Projectからの脆弱性ならびに回避策の発表
・一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
