announce] OpenSSL version 1.1.0d published」においてOpenSSL 1.1.0系の最新版となる「OpenSSL version 1.1.d」の公開も伝えた。
OpenSSL is an open source project that provides a robust, commercial-grade, and full-featured toolkit for the TLS and SSL protocols |
OpenSSLプロジェクトチームは1月26日(協定世界時)、「[openssl-announce] OpenSSL version 1.0.2k published」において、OpenSSL 1.0.2系の最新版となる「OpenSSL version 1.0.2k」の公開を伝えた。また同日、同プロジェクトチームは「[openssl-announce] OpenSSL version 1.1.0d published」においてOpenSSL 1.1.0系の最新版となる「OpenSSL version 1.1.d」の公開も伝えた。
これら最新版では、次の脆弱性が修正されていると説明がある。
- OOB読み込み経由で不正なパケットがクラッシュを引き起こす問題(CVE-2017-3731)
- x86_64でBN_mod_expが誤った結果を生成する問題(CVE-2017-3732)
- モンゴメリ乗算が誤った結果を生成する問題(CVE-2016-7055)
これら脆弱性を悪用されると、DoS攻撃を受ける可能性があるとされている。今回リリースされた最新版でこれらセキュリティ脆弱性が修正されていることから、該当するプロダクトを利用している場合は問題の修正された最新版へアップグレードすることが望まれる。