FreeBSD - The Power To Serve

FreeBSDプロジェクトは5月13日(米国時間)、「FreeBSD-SA-14:10.openssl Security Advisory - OpenSSL NULL pointer deference vulnerability」においてOpenSSLの実装にセキュリティ脆弱性があり、このセキュリティ脆弱性を利用されるとOpenSSLライブラリを使っているソフトウェアがNULLポインタ参照を起こして動作停止を引き起こすなどDoS攻撃につながる危険性があると伝えた。FreeBSDのベースシステムに統合されているソフトウェアは問題の動作を引き起こさないが、サードパーティ製ソフトウェアでOpenSSLのSSL_MODE_RELEASE_BUFFERSモードを使っている場合にはこの問題が発生する危険性がある。

このセキュリティ脆弱性の影響を受けるバージョンはFreeBSD 10系のみ。セキュリティ脆弱性に該当するソフトウェアの問題を一時的に回避する方法は示されておらず、修正されたバージョンのライブラリまたはユーザランドへアップデートを実施する必要がある。freebsd-update(8)経由でバイナリアップデートが可能であるほか、個別にビルドしてアップデートすることも可能。OpenSSLを利用するサードパーティ製アプリケーションをインストールしている場合には個別にビルドが必要なケースもある。

OpenSSLのセキュリティ脆弱性(Heartbleed)が発覚して以降、ソフトウェアベンダやオープンソースソフトウェアプロジェクトはOpenSSLに関するセキュリティ脆弱性に高い関心を示している。OpenBSDプロジェクトがOpenSSLから派生させたプロジェクト「LibreSSL」で開発を進めているなどこれまでよりもアクティブにセキュリティに注力した取り組みが進められており、今後もOpenSSLに関するセキュリティ関連の発表が継続する可能性がある。