JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は3月29日、「JVNVU#99604728: OpenSSLに複数の脆弱性(Security Advisory [28th March 2023])」において、OpenSSLに複数の脆弱性が存在すると伝えた。

  • JVNVU#99604728: OpenSSLに複数の脆弱性(Security Advisory [28th March 2023])

    JVNVU#99604728: OpenSSLに複数の脆弱性(Security Advisory [28th March 2023])

脆弱性に関する情報は次のページにまとまっている。

指摘されている脆弱性は次のとおり。

  • CVE-2023-0465 - リーフ証明書内の無効なポリシチェックをスキップする脆弱性
  • CVE-2023-0466 - 証明書ポリシチェックが有効ではない脆弱性

セキュリティ脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • OpenSSL 3.1
  • OpenSSL 3.0
  • OpenSSL 1.1.1
  • OpenSSL 1.0.2

脆弱性が修正されたコミットは次のとおり。

  • CVE-2023-0465 - OpenSSL 3.1 - facfb1ab
  • CVE-2023-0465 - OpenSSL 3.0 - 1dd43e07
  • CVE-2023-0465 - OpenSSL 1.1.1 - b013765a
  • CVE-2023-0465 - OpenSSL 1.0.2 - 10325176
  • CVE-2023-0466 - OpenSSL 3.1 - fc814a30
  • CVE-2023-0466 - OpenSSL 3.0 - 51e8a84c
  • CVE-2023-0466 - OpenSSL 1.1.1 - 0d16b7e9
  • CVE-2023-0466 - OpenSSL 1.0.2 - 73398dea

どちらの脆弱性も深刻度は低(Low)と評価されている。このため、これら脆弱性の修正を目的としたセキュリティリリースは行わないとしており、通常のリリースサイクルに従って次のリリースで修正が取り込まれると説明されている。