JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は9月12日(米国時間)、「Japan Vulnerability Notes(JVN)」に掲載した記事「JVNVU#94367039: OpenSSL に複数の脆弱性」においてOpenSSLの脆弱性について伝えた。
脆弱性が修正されたバージョンは次のとおり。
- OpenSSL 1.1.1d
- OpenSSL 1.1.0l
- OpenSSL 1.0.2t
脆弱性に関する情報は次のページにまとまっている。
今回のアップデートで次の脆弱性が修正されている。
- ECDSA remote timing attack (CVE-2019-1547)
- Fork Protection (CVE-2019-1549)
- Padding Oracle in PKCS7_dataDecode and CMS_decrypt_set1_pkey (CVE-2019-1563)
これら脆弱性を悪用されると、機密情報の窃取などを実施される可能性があるとされており注意が必要。ただし、これら脆弱性は深刻度が低(Low)と評価されている。ベンダーやプロジェクトから提供される脆弱性に注力するとともに、アップデートが提供された場合は迅速にアップデートを適用することが望まれる。