ニュース
「OpenSSL 1.1.1g」公開、深刻度“High”の脆弱性を修正
2020年4月22日 18:03
OpenSSL Projectは21日、オープンソースのSSL/TLSライブラリ「OpenSSL」の最新バージョン「1.1.1g」を公開した。
「OpenSSL 1.1.1d」「同1.1.1e」「同1.1.1f」には、TLS拡張「signature_algorithms_cert」の誤った処理により、NULLポインタ参照が発生する脆弱性(CVE-2020-1967)が存在するが、最新バージョンではこの問題が修正されている。
脆弱性の深刻度は“High”とされており、悪用されるとOpenSSLを実行しているサーバーやクライアントアプリにおいて、サービス運用妨害 (DoS) 攻撃が行われる可能性がある。
なお、「同1.0.2」「同1.1.0」は脆弱性の影響を受けないが、既にサポートが終了したバージョンのため、OpenSSL Projectでは「OpenSSL1.1.1」へのアップグレードを推奨している。