JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は3月29日、「JVNVU#99604728: OpenSSLに複数の脆弱性(Security Advisory [28th March 2023])」において、OpenSSLに複数の脆弱性が存在すると伝えた。
脆弱性に関する情報は次のページにまとまっている。
指摘されている脆弱性は次のとおり。
- CVE-2023-0465 - リーフ証明書内の無効なポリシチェックをスキップする脆弱性
- CVE-2023-0466 - 証明書ポリシチェックが有効ではない脆弱性
セキュリティ脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- OpenSSL 3.1
- OpenSSL 3.0
- OpenSSL 1.1.1
- OpenSSL 1.0.2
脆弱性が修正されたコミットは次のとおり。
- CVE-2023-0465 - OpenSSL 3.1 - facfb1ab
- CVE-2023-0465 - OpenSSL 3.0 - 1dd43e07
- CVE-2023-0465 - OpenSSL 1.1.1 - b013765a
- CVE-2023-0465 - OpenSSL 1.0.2 - 10325176
- CVE-2023-0466 - OpenSSL 3.1 - fc814a30
- CVE-2023-0466 - OpenSSL 3.0 - 51e8a84c
- CVE-2023-0466 - OpenSSL 1.1.1 - 0d16b7e9
- CVE-2023-0466 - OpenSSL 1.0.2 - 73398dea
どちらの脆弱性も深刻度は低(Low)と評価されている。このため、これら脆弱性の修正を目的としたセキュリティリリースは行わないとしており、通常のリリースサイクルに従って次のリリースで修正が取り込まれると説明されている。