JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は2月8日、「JVNVU#91213144: OpenSSLに複数の脆弱性」において、OpenSSLに重大なセキュリティ脆弱性が複数存在すると伝えた。これら脆弱性が悪用されると、サービス運用妨害(DoS: Denial of Service)を受けたり、ユーザーがサーバへ送信したアプリケーションのデータを復号されたりする危険性がある。
脆弱性の詳細は、OpenSSLプロジェクトによる次のセキュリティアドバイザリにまとめられている。
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- OpenSSL 3.0
- OpenSSL 3.0.0 - 3.0.7
- OpenSSL 1.1.1
- OpenSSL 1.0.2
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- OpenSSL 3.0.8
- OpenSSL 1.1.1t
- OpenSSL 1.0.2zg(プレミアムサポートカスタマのみ)
JPCERT/CCは、開発者の提供する情報に基づいてアップデートを適用することを推奨している。