JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は8月25日、「JVNVU#99612123: OpenSSLに複数の脆弱性」において、OpenSSLに複数のセキュリティ脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によってアプリケーションのクラッシュやデータ窃取、動作の変更などを実施される可能性があるとされている。

脆弱性に関する情報は次のページにまとまっている。

  • OpenSSL Security Advisory [24 August 2021]

    OpenSSL Security Advisory [24 August 2021]

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • OpenSSL 1.1.1kおよびそれよりも前のバージョンバージョン
  • OpenSSL 1.0.2yおよびそれよりも前のバージョンバージョン
  • OpenSSL 3.0 alpha/betaリリース

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • OpenSSL 1.1.1l

脆弱性の深刻度は高(High)および中(Moderate)と評価されている。なお、OpenSSL 1.1.0およびOpenSSL 1.0.2はすでにサポートが終了しているためアップデートの提供が行われない点に注意が必要。JPCERT/CCは開発者の提供する情報にもとづいてアップデートを適用することを推奨している。