JPCERT コーディネーションセンター(JPCERT/CC)は3月2日、OpenSSL Projectが提供するOpenSSLに複数の脆弱性があるとして、脆弱性を修正したバージョンを適用するよう呼びかけた。
影響を受ける脆弱性(CVE-2016-0800) について、該当するバージョンの OpenSSLを用いて、SSLv2を利用可能としている場合、遠隔の第三者によって、秘密鍵などの重要な情報を取得されるおそれがある。
OpenSSL Projectが3月1日、OpenSSL Security Advisory [1st March 2016]において、脆弱性の詳細について説明している。
脆弱性の影響を受けるバージョンは以下のとおり。
- OpenSSL 1.0.1r およびそれ以前の 1.0.1 系列
- OpenSSL 1.0.2f およびそれ以前の 1.0.2 系列
OpenSSL Project から、以下の脆弱性を修正したバージョンのOpenSSL が公開されているので、十分なテストを実施の上、修正済みのバージョンを適用することが推奨される。
- OpenSSL 1.0.1s
- OpenSSL 1.0.2g
OpenSSL Projectでは、OpenSSL 0.9.8 系列と1.0.0 系列は2015年12月31日でサポートが終了しており、今後修正済みのバージョンは提供しないとしている。