Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

OpenSSLのパッチに深刻な脆弱性 - 急遽修正を実施

OpenSSLの開発チームは、アップデート「OpenSSL 1.1.0b」「同1.0.2j」をリリースした。9月22日に公開した一部アップデートが深刻な脆弱性を引き起こすことが判明し、急遽修正したという。

20160927_os_001.jpg
開発チームが公開したアドバイザリの一部

開発者によれば、前回公開した「同1.1.0a」では、「CVE-2016-6307」へ対応したが、この修正によって解放後のメモリへアクセスが可能となるいわゆる「Use After Free」の脆弱性「CVE-2016-6309」が生じたという。脆弱性を悪用されるとクラッシュし、任意のコードを実行されるおそれがある。

開発チームは、重要度を4段階中もっとも高い「クリティカル(Critical)」とし、前回のアップデートよりも高い重要度にレーティング。影響が大きいため、公開日が遅れる事前通知を実施せず、修正版となる「同1.1.0b」をリリースした。

また「同1.0.2i」では、証明書失効確認(CRL)のチェック機能にNullポインタ例外によりクラッシュする重要度「中(Moderate)」の脆弱性「CVE-2016-7052」が明らかとなり、アップデート「同1.0.2j」を公開した。

同じく9月22日に公開された「同1.0.1u」に関しては、脆弱性など見つかっておらず、9月26日の時点で同版が「同1.0.1系」では最新となる。なお、「同1.0.1系」に関しては2016年末にサポートの終了を控えているため注意が必要。

(Security NEXT - 2016/09/27 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「Node.js」にセキュリティアップデート - 複数脆弱性を修正
「OpenSSL」にアップデート - 累積した脆弱性4件を解消
「OpenSSL」に脆弱性「CVE-2024-0727」 - 今後修正予定
「OpenSSL」のRSA公開鍵チェックに脆弱性 - SSL/TLS実装に影響なし
「OpenSSL」に脆弱性、PowerPC環境下で影響 - 今後の更新で修正
「OpenSSL」にサービス拒否の脆弱性 - 重要度は「低」
「OpenSSL」にアップデート - 「同1.1.1」はサポート終了
「OpenSSL」に重要度「低」の脆弱性 - Windowsの64ビット環境に影響
「OpenSSL」にアップデート、累積した脆弱性3件を解消
「OpenSSL」にサービス拒否の脆弱性 - 今後のアップデートで修正予定