Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

OpenSSLのパッチに深刻な脆弱性 - 急遽修正を実施

OpenSSLの開発チームは、アップデート「OpenSSL 1.1.0b」「同1.0.2j」をリリースした。9月22日に公開した一部アップデートが深刻な脆弱性を引き起こすことが判明し、急遽修正したという。

20160927_os_001.jpg
開発チームが公開したアドバイザリの一部

開発者によれば、前回公開した「同1.1.0a」では、「CVE-2016-6307」へ対応したが、この修正によって解放後のメモリへアクセスが可能となるいわゆる「Use After Free」の脆弱性「CVE-2016-6309」が生じたという。脆弱性を悪用されるとクラッシュし、任意のコードを実行されるおそれがある。

開発チームは、重要度を4段階中もっとも高い「クリティカル(Critical)」とし、前回のアップデートよりも高い重要度にレーティング。影響が大きいため、公開日が遅れる事前通知を実施せず、修正版となる「同1.1.0b」をリリースした。

また「同1.0.2i」では、証明書失効確認(CRL)のチェック機能にNullポインタ例外によりクラッシュする重要度「中(Moderate)」の脆弱性「CVE-2016-7052」が明らかとなり、アップデート「同1.0.2j」を公開した。

同じく9月22日に公開された「同1.0.1u」に関しては、脆弱性など見つかっておらず、9月26日の時点で同版が「同1.0.1系」では最新となる。なお、「同1.0.1系」に関しては2016年末にサポートの終了を控えているため注意が必要。

(Security NEXT - 2016/09/27 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「OpenSSL」にDoS攻撃受ける脆弱性 - 修正は次期アップデートで
「OpenSSL」のRSA鍵生成時に秘密鍵取得されるおそれ - 次期更新で修正予定
OpenSSLのアップデートがリリース - 脆弱性3件を解消
OpenSSL、セキュリティアップデートを3月27日に公開予定
Palo Alto NetworksのOSに脆弱性 - 悪用容易のため注意を
Apple、「macOS High Sierra 10.13.2」などであわせて脆弱性22件を修正
脆弱性2件を修正した「OpenSSL 1.0.2n」がリリース
OpenSSLにセキュリティアップデート - 脆弱性2件を修正
Apple、macOS向けに脆弱性に対処したアップデート - 重複除く125件を解消
OpenSSLにセキュリティアップデート - 重要度「高」の脆弱性を修正