「OpenSSL」にセキュリティアップデート - 脆弱性9件を解消
OpenSSLの開発チームは、複数の脆弱性に対処したセキュリティアップデート「OpenSSL 3.0.8」「同1.1.1t」をリリースした。
バージョンによって影響は異なるが、今回のアップデートであわせて9件の脆弱性に対応している。4段階ある重要度においてもっとも高い「クリティカル(Critical)」とされる脆弱性は含まれていない。
重要度が2番目に高い「高(High)」とされる脆弱性は「CVE-2023-0286」の1件。「X.509 GeneralName」における「X.400」のアドレス処理において型の取り違えが生じ、サービス拒否に陥るおそれがあるという。
このほか「Use After Free」の脆弱性「CVE-2023-0215」をはじめ、ダブルフリーの脆弱性「CVE-2022-4450」、NULLポインタ参照の脆弱性「CVE-2023-0217」「CVE-2023-0401」など7件に対処した。いずれも重要度は「中(Moderate)」。
また開発チームが、2022年12月のアドバイザリで対応を予告していた重要度「低(Low)」とされる脆弱性「CVE-2022-3996」の修正も含まれる。
開発チームでは、脆弱性に対処した最新版となる「同3.0.8」「同1.1.1t」をリリース。またプレミアムサポートの契約者に対して「同1.0.2zg」を提供している。
今回修正された脆弱性は以下のとおり。
CVE-2022-3996
CVE-2022-4203
CVE-2022-4304
CVE-2022-4450
CVE-2023-0215
CVE-2023-0216
CVE-2023-0217
CVE-2023-0286
CVE-2023-0401
(Security NEXT - 2023/02/08 )
ツイート
関連リンク
PR
関連記事
「Microsoft Defender」で正規URLの誤検知が発生
関西電力かたるフィッシング - 未払い料金の請求を偽装
中学校で1クラス分の生徒健康診断票を紛失 - 二宮町
自動送信ログに個人情報含む不具合 - パナソニック製カーナビ
基幹システムがランサム被害、生産に支障なし - 食品包装メーカー
2月のDDoS攻撃は減少、約100件を観測した日も - IIJレポート
「NGINX Agent」に情報漏洩の脆弱性 - アップデートがリリース
交付金申請様式に個人情報、19施設に誤送付 - 北谷町
3月のMS月例パッチ、産業制御システムへの影響に注意を
MLOpsプラットフォーム「MLflow」に深刻な脆弱性