JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は5月6日、「JVNVU#93032579: OpenSSLに複数の脆弱性」において、OpenSSLに複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によって任意コマンドの実行やサービス運用妨害(DoS: Denial of Service)を引き起こされる可能性があるとされており注意が必要。
脆弱性に関する情報は次のページにまとまっている。
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- OpenSSL 1.0.2zeより前のバージョン
- OpenSSL 1.1.1oより前のバージョン
- OpenSSL 3.0.3より前のバージョン
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- OpenSSL 1.1.1o
- OpenSSL 3.0.3
OpenSSL 1.1.0およびOpenSSL 1.0.2はすでにサポートが終了しており、アップデート版のリリースは行われていないとされている。OpenSSL 1.0.2プレミアムサポート契約のユーザを除き、OpenSSL 3.0.3またはOpenSSL 1.1.1oへのアップグレードが望まれる。JPCERT/CCは開発者の提供する情報にもとづいてアップデートを適用することを推奨している。