ニュース

「OpenSSL 1.1.0e」、危険度“High”の脆弱性を修正

 OpenSSL Projectは16日、オープンソースのSSL/TLSライブラリ新バージョン「OpenSSL 1.1.0e」を公開し、危険度“High”の脆弱性1件を修正した。米SANS ISCも注意喚起を行っており、最新版への更新が推奨されている。

 危険度“High”は、4段階中2番目に高いもの。影響を受けるのはバージョン「1.1.0d」「1.1.0c」「1.1.0b」「1.1.0a」「1.1.0」で、クライアントとサーバーの両方が影響を受ける。ただし、バージョン「1.0.2」には影響がない。

 脆弱性「CVE-2017-3733」は、メッセージを暗号化してからメッセージ認証符号を計算する認証付き暗号方式「Encrypt-Then-Mac」(EtM)の拡張機能におけるもの。攻撃者がEtMを使用せずにSSLハンドシェイクを行い、再度のハンドシェイク時にEtMを用いると、システムをクラッシュさせられる可能性がある。また、EtMを使用したハンドシェイクの後に、EtMを使用しないでハンドシェイクした場合にも、同様にシステムがクラッシュさせられる恐れがある。

 米SANS ISCでは、現在多くのLinuxディストリビューションで採用されているのはOpenSSL 1.0.2のため、影響を受けるのは一部にとどまるとしている。