複数脆弱性を修正した「OpenSSL 1.1.1j」が公開
「OpenSSL」の開発チームは、複数の脆弱性に対処したアップデート「同1.1.1j」「同1.0.2y」をリリースした。
今回のアップデートでは、「NULLポインタ参照」の脆弱性「CVE-2021-23841」や、整数オーバーフローの脆弱性「CVE-2021-23840」を修正した。
さらに「同1.0.2y」ではこれらにくわえて、「SSLv2」による接続が強制される脆弱性「CVE-2021-23839」をあわせた3件を解消している。
「CVE-2021-23841」の重要度は、4段階中3番目にあたる「中(Moderate)」、「CVE-2021-23840」および、脆弱性「CVE-2021-23839」は、いずれも重要度がもっとも低い「低(Low)」とレーティングされている。
開発チームは、脆弱性へ対処した「同1.1.1j」「同1.0.2y」をリリースした。ただし、「同1.0.2系」については2019年12月にサポートが終了しており、パブリックアップデートを提供しておらず、拡張プレミアムサポートを契約している場合にのみ利用できる。
また「同1.1.0系」についてもサポートが終了しており、影響なども調査されていない。「同1.1.1j」への更新が呼びかけられている。
(Security NEXT - 2021/02/18 )
ツイート
PR
関連記事
「F5 BIG-IP APM」脆弱性の悪用が発生 - 当初発表より深刻なリスク
「OpenBao」に認証関連で複数のクリティカル脆弱性
「Roundcube」にセキュリティアップデート - 更新を強く推奨
「OpenTelemetry Java Instrumentation」に脆弱性 - 派生ソフトも注意を
「Apache Spark」のログ処理に脆弱性 - アップデートで修正
「Spring AI」にRCEやSSRFなど4件の脆弱性 - クリティカルも
セキュリティスキャナ「Trivy」に不正コード混入 - 侵害有無の調査を
シャープ製複数ルータに認証欠如の脆弱性 - 初期PW推測のおそれ
「macOS Tahoe 26.4」を提供開始 - 脆弱性77件に対処
ウェブサーバ「NGINX」に定例外アドバイザリ - 複数脆弱性を修正
