JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は3月26日、「OpenSSLの脆弱性(CVE-2021-3450、CVE-2021-3449)に関する注意喚起」において、OpenSSLに複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、不正なCA証明書を認証されたり、OpenSSLが実行されているサーバがサービス運用妨害(DoS: Denial of Service)を受けたりするおそれがある。
脆弱性に関する情報は次のページにまとまっている。
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- CVE-2021-3450 - OpenSSL 1.1.1h、OpenSSL 1.1.1i、OpenSSL 1.1.1j
- CVE-2021-3449 - OpenSSL 1.1.1kより前の1.1.1系バージョン
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- OpenSSL 1.1.1k
OpenSSL 1.1.0は既にサポートが終了していることから、この脆弱性に関してはそもそも評価が行われていない。OpenSSL 1.0.2はこの脆弱性の影響を受けないとされているが、プレミアムサポート契約ユーザーを除きOpenSSL 1.0.2も既にサポートが終了している。JPCERT/CCは十分なテストを実施した上で修正済みのOpenSSL 1.1.1kへアップデートすることを推奨している。