「OpenSSL」に複数の脆弱性、アップデートが公開
「OpenSSL」における複数の脆弱性が修正された。重要度は、いずれも「中」以下とされているが、最新版へのアップデートが推奨されている。
「x86_64」環境において、「BN_mod_exp」が誤った計算結果を返す脆弱性「CVE-2015-3193」や、細工された証明書を検証するとクラッシュする脆弱性「CVE-2015-3194」など、あわせて5件の脆弱性に対処したもの。
脆弱性によって影響を受ける系列は異なるが、開発グループはアップデートとして「同1.0.2e」「同1.0.1q」「1.0.0t」「0.9.8zh」を用意している。
脆弱性が悪用された場合、秘密鍵が推測されたり、サービス拒否へ陥る可能性があるが、攻撃が難しい、攻撃を受ける環境が限られるなど切迫した問題ではなく、重要度は「中」から「低」にとどまる。
開発者グループやセキュリティ機関では、アップデートを推奨。また「同0.9.8」「同1.0.0」はサポート終了を12月31日に控えており、引き続きサポートが行われるバージョンへの移行を検討するよう呼びかけている。
(Security NEXT - 2015/12/08 )
ツイート
PR
関連記事
サーバ製品「HPE Cray XD670」の管理ソフトに深刻な脆弱性
「Apache Tomcat」の脆弱性攻撃が発生 - 「WAF」回避のおそれも
図書館管理システム「Koha」に複数脆弱性 - アップデートで修正
PerconaのDB管理ツールに深刻な脆弱性 - 更新と侵害有無の確認を
「Microsoft Edge」にアップデート - Chromiumの脆弱性修正を反映
「Chrome」のGPU脆弱性修正、WebKit関連のゼロデイ脆弱性と判明
「PHP」に複数脆弱性 - セキュリティアップデートがリリース
「Junos OS」に定例外アップデート - ゼロデイ脆弱性を修正
サポート終了した「Bitdefender BOX v1」のアップデート機能に脆弱性
「Apache NiFi」にMongoDB認証情報が漏洩する脆弱性 - アップデートで修正