「OpenSSL」にセキュリティアップデート - 脆弱性9件を解消

OpenSSLの開発チームは、複数の脆弱性に対処したセキュリティアップデート「OpenSSL 3.0.8」「同1.1.1t」をリリースした。

バージョンによって影響は異なるが、今回のアップデートであわせて9件の脆弱性に対応している。4段階ある重要度においてもっとも高い「クリティカル（Critical）」とされる脆弱性は含まれていない。

重要度が2番目に高い「高（High）」とされる脆弱性は「CVE-2023-0286」の1件。「X.509 GeneralName」における「X.400」のアドレス処理において型の取り違えが生じ、サービス拒否に陥るおそれがあるという。

このほか「Use After Free」の脆弱性「CVE-2023-0215」をはじめ、ダブルフリーの脆弱性「CVE-2022-4450」、NULLポインタ参照の脆弱性「CVE-2023-0217」「CVE-2023-0401」など7件に対処した。いずれも重要度は「中（Moderate）」。

また開発チームが、2022年12月のアドバイザリで対応を予告していた重要度「低（Low）」とされる脆弱性「CVE-2022-3996」の修正も含まれる。

開発チームでは、脆弱性に対処した最新版となる「同3.0.8」「同1.1.1t」をリリース。またプレミアムサポートの契約者に対して「同1.0.2zg」を提供している。

今回修正された脆弱性は以下のとおり。

CVE-2022-3996
CVE-2022-4203
CVE-2022-4304
CVE-2022-4450
CVE-2023-0215
CVE-2023-0216
CVE-2023-0217
CVE-2023-0286
CVE-2023-0401

（Security NEXT - 2023/02/08 ）ツイート