複数脆弱性を修正した「OpenSSL 1.1.1j」が公開
「OpenSSL」の開発チームは、複数の脆弱性に対処したアップデート「同1.1.1j」「同1.0.2y」をリリースした。
今回のアップデートでは、「NULLポインタ参照」の脆弱性「CVE-2021-23841」や、整数オーバーフローの脆弱性「CVE-2021-23840」を修正した。
さらに「同1.0.2y」ではこれらにくわえて、「SSLv2」による接続が強制される脆弱性「CVE-2021-23839」をあわせた3件を解消している。
「CVE-2021-23841」の重要度は、4段階中3番目にあたる「中(Moderate)」、「CVE-2021-23840」および、脆弱性「CVE-2021-23839」は、いずれも重要度がもっとも低い「低(Low)」とレーティングされている。
開発チームは、脆弱性へ対処した「同1.1.1j」「同1.0.2y」をリリースした。ただし、「同1.0.2系」については2019年12月にサポートが終了しており、パブリックアップデートを提供しておらず、拡張プレミアムサポートを契約している場合にのみ利用できる。
また「同1.1.0系」についてもサポートが終了しており、影響なども調査されていない。「同1.1.1j」への更新が呼びかけられている。
(Security NEXT - 2021/02/18 )
ツイート
PR
関連記事
MS、「Windows Server」向けに定例外パッチ - 米当局が悪用確認
Dellストレージ管理製品に認証回避の脆弱性 - アップデートで修正
前月の更新で「Bamboo」「Jira」など脆弱性14件を修正 - Atlassian
シークレット管理ツール「HashiCorp Vault」に複数の脆弱性
アイ・オー製NAS管理アプリに権限昇格の脆弱性
コンテナ保護基盤「NeuVector」に複数脆弱性 - 「クリティカル」も
GitLab、アップデートを公開 - 脆弱性7件を解消
「BIND 9」にキャッシュポイズニングなど複数脆弱性
端末管理製品「LANSCOPE」の脆弱性狙う攻撃に注意喚起 - 米当局
ZohoのAD管理支援ツールに脆弱性 - アップデートで修正
