OpenSSLのパッチに深刻な脆弱性 - 急遽修正を実施

OpenSSLの開発チームは、アップデート「OpenSSL 1.1.0b」「同1.0.2j」をリリースした。9月22日に公開した一部アップデートが深刻な脆弱性を引き起こすことが判明し、急遽修正したという。

開発チームが公開したアドバイザリの一部

開発者によれば、前回公開した「同1.1.0a」では、「CVE-2016-6307」へ対応したが、この修正によって解放後のメモリへアクセスが可能となるいわゆる「Use After Free」の脆弱性「CVE-2016-6309」が生じたという。脆弱性を悪用されるとクラッシュし、任意のコードを実行されるおそれがある。

開発チームは、重要度を4段階中もっとも高い「クリティカル（Critical）」とし、前回のアップデートよりも高い重要度にレーティング。影響が大きいため、公開日が遅れる事前通知を実施せず、修正版となる「同1.1.0b」をリリースした。

また「同1.0.2i」では、証明書失効確認（CRL）のチェック機能にNullポインタ例外によりクラッシュする重要度「中（Moderate）」の脆弱性「CVE-2016-7052」が明らかとなり、アップデート「同1.0.2j」を公開した。

同じく9月22日に公開された「同1.0.1u」に関しては、脆弱性など見つかっておらず、9月26日の時点で同版が「同1.0.1系」では最新となる。なお、「同1.0.1系」に関しては2016年末にサポートの終了を控えているため注意が必要。

（Security NEXT - 2016/09/27 ） ツイート

PR

関連記事

「OpenSSL」にあらたな脆弱性 - アップデートを公開
「OpenSSL」にタイミング攻撃の脆弱性 - 今後のリリースで修正予定
「Splunk Enterprise」に複数の脆弱性 - アップデートで解消
MS、月例パッチで脆弱性90件を修正 - すでに2件は悪用済み
OpenSSLの一部楕円曲線APIに脆弱性 - 重要度は「低」
「OpenSSL」にセキュリティアップデート - 脆弱性2件を修正
「OpenSSL」のAPI関数に脆弱性 - 今後のアップデートで修正予定
「OpenSSL」にセキュリティアップデート - 3件の脆弱性を解消
「OpenSSL」にUAF脆弱性、影響は限定的 - 今後のリリースで修正を反映
外部アプリより利用する「OpenSSL」の一部関数にDoS脆弱性