JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は8月25日、「JVNVU#99612123: OpenSSLに複数の脆弱性」において、OpenSSLに複数のセキュリティ脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によってアプリケーションのクラッシュやデータ窃取、動作の変更などを実施される可能性があるとされている。
脆弱性に関する情報は次のページにまとまっている。
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- OpenSSL 1.1.1kおよびそれよりも前のバージョンバージョン
- OpenSSL 1.0.2yおよびそれよりも前のバージョンバージョン
- OpenSSL 3.0 alpha/betaリリース
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- OpenSSL 1.1.1l
脆弱性の深刻度は高(High)および中(Moderate)と評価されている。なお、OpenSSL 1.1.0およびOpenSSL 1.0.2はすでにサポートが終了しているためアップデートの提供が行われない点に注意が必要。JPCERT/CCは開発者の提供する情報にもとづいてアップデートを適用することを推奨している。