JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は5月6日、「JVNVU#93032579: OpenSSLに複数の脆弱性」において、OpenSSLに複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によって任意コマンドの実行やサービス運用妨害(DoS: Denial of Service)を引き起こされる可能性があるとされており注意が必要。

脆弱性に関する情報は次のページにまとまっている。

  • OpenSSL Security Advisory [03 May 2022]

    OpenSSL Security Advisory [03 May 2022]

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • OpenSSL 1.0.2zeより前のバージョン
  • OpenSSL 1.1.1oより前のバージョン
  • OpenSSL 3.0.3より前のバージョン

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • OpenSSL 1.1.1o
  • OpenSSL 3.0.3

OpenSSL 1.1.0およびOpenSSL 1.0.2はすでにサポートが終了しており、アップデート版のリリースは行われていないとされている。OpenSSL 1.0.2プレミアムサポート契約のユーザを除き、OpenSSL 3.0.3またはOpenSSL 1.1.1oへのアップグレードが望まれる。JPCERT/CCは開発者の提供する情報にもとづいてアップデートを適用することを推奨している。