OpenSSL is an open source project that provides a robust, commercial-grade, and full-featured toolkit for the TLS and SSL protocols |
OpenSSLプロジェクトチームは2月16日(米国時間)、「OpenSSL Security Advisory[16 Feb 2017] Encrypt-Then-Mac renegotiation crash (CVE-2017-3733)」において、OpenSSL 1.1.0に重要度の高い脆弱性が存在すると伝えた。OpenSSLプロジェクトチームはOpenSSL 1.1.0のユーザーに対してOpenSSL 1.1.0eへアップグレードするように呼びかけている。なお、この脆弱性はOpenSSL 1.0.2には存在しないとされている。
この脆弱性を悪用されると、特定の条件下の再ネゴシエーションハンドシェークの段階でOpenSSLがクラッシュする可能性がある。クラッシュはサーバにおいてもクライアントにおいても発生するとされている。この脆弱性はRed HatのJoe Orton氏から1月31日に報告されたもので、OpenSSL開発チームのMatt Caswell氏によって修正されたと説明がある。すでに修正されたバージョンが公開されていることから、該当するバージョンを使用している場合は早期にアップグレードを実施することが望まれる。
OpenSSL 1.0.1のサポートはすでに2016年12月31日の段階で、また、OpenSSL 0.9.8および1.0.0のサポートもすでに2015年12月31日の段階で終了している。これらバージョンに対してセキュリティアップデートが提供されることはないため、こうした古いバージョンを使用している場合は早期に最新版へアップグレードすることが望まれる。