OpenSSLにセキュリティアップデート - 脆弱性2件を修正

OpenSSLの開発チームは、セキュリティアップデート「OpenSSL 1.1.0g」「同1.0.2m」をリリースした。2件の脆弱性へ対処したという。
「x86_64」環境において「bn_sqrx8x_internal」にキャリープロパゲーションを誤って処理する脆弱性「CVE-2017-3736」が存在することが明らかになったという。
過去に修正された「CVE-2017-3732」「CVE-2015-3193」と類似した脆弱性で、重要度は4段階中、上から3番目にあたる「中(Moderate)」。楕円曲線暗号アルゴリズムは影響を受けない。
開発チームの分析では、「RSA」や「DSA」に対する攻撃は困難。「DH」については、プライベート鍵に対する分析をオフラインで行えるため、可能性は否定できないものの、同じく悪用は非常に難しいという。
複数のクライアントで設定やプライベートキーを共有しているなど一定の条件が揃う必要があり、膨大なリソースを必要とすることから、誰でも攻撃が行える脆弱性ではないとしている。
(Security NEXT - 2017/11/06 )
ツイート
PR
関連記事
「macOS Tahoe 26.5.2」公開 - 脆弱性37件を修正
「IBM Db2」に深刻な脆弱性 - 暫定的な修正を提供
米当局、「SharePoint Server」の脆弱性悪用に注意喚起
「Apache Tomcat」に複数脆弱性 - 「クリティカル」との評価も
「NetScaler ADC/Gateway」に複数脆弱性 - アップデートで修正
「Adobe ColdFusion」に複数の深刻な脆弱性 - 早急に対応を
「iOS/iPadOS 26.5.2」を公開、脆弱性37件を修正
「Adobe Campaign Classic」に悪用リスクが高い脆弱性
「Chrome」にアップデート - 382件の脆弱性に対応
サポートツール「SimpleHelp」の脆弱性悪用を確認 - 米当局が注意喚起

