Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

OpenSSLのパッチに深刻な脆弱性 - 急遽修正を実施

OpenSSLの開発チームは、アップデート「OpenSSL 1.1.0b」「同1.0.2j」をリリースした。9月22日に公開した一部アップデートが深刻な脆弱性を引き起こすことが判明し、急遽修正したという。

20160927_os_001.jpg
開発チームが公開したアドバイザリの一部

開発者によれば、前回公開した「同1.1.0a」では、「CVE-2016-6307」へ対応したが、この修正によって解放後のメモリへアクセスが可能となるいわゆる「Use After Free」の脆弱性「CVE-2016-6309」が生じたという。脆弱性を悪用されるとクラッシュし、任意のコードを実行されるおそれがある。

開発チームは、重要度を4段階中もっとも高い「クリティカル(Critical)」とし、前回のアップデートよりも高い重要度にレーティング。影響が大きいため、公開日が遅れる事前通知を実施せず、修正版となる「同1.1.0b」をリリースした。

また「同1.0.2i」では、証明書失効確認(CRL)のチェック機能にNullポインタ例外によりクラッシュする重要度「中(Moderate)」の脆弱性「CVE-2016-7052」が明らかとなり、アップデート「同1.0.2j」を公開した。

同じく9月22日に公開された「同1.0.1u」に関しては、脆弱性など見つかっておらず、9月26日の時点で同版が「同1.0.1系」では最新となる。なお、「同1.0.1系」に関しては2016年末にサポートの終了を控えているため注意が必要。

(Security NEXT - 2016/09/27 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「TLS 1.2」以前に「Raccoon Attack」のおそれ - OpenSSL、F5などが対処
「Tomcat Native 1.2.24」が公開 - OpenSSL脆弱性に対応
OpenSSLにリモートよりDoS攻撃受けるおそれ
「OpenSSL 1.1.1e」がリリース、バグや脆弱性を修正
サポート終了目前に「OpenSSL 1.0.2u」をリリース
OpenSSLに重要度「低」の脆弱性 - 更新用意なし
OpenSSLにアップデート、重要度「低」の脆弱性3件に対応
「OpenSSL」のWindows版に脆弱性 - 重要度「低」とし更新は未提供
Juniper、「Junos OS」など複数製品向けにセキュリティアップデート
「OpenSSL 1.1.1c」「同1.1.0k」がリリース - 脆弱性やバグを修正