OpenSSLについては、2014年4月のHeartbleed脆弱性の後、同様の事象を徹底的に防ぐ取り組みの優先順位が上がり、暗号ライブラリを強化する取り組みが行われてきました。

2015年3月16日、OpenSSLプロジェクトチームがいくつかの脆弱性に対応する新バージョンのOpenSSLをリリース予定と予告しました。

[openssl-announce] Forthcoming OpenSSL releases

2015年3月19日、予告通りOpenSSLの新バージョンが公開されました。セキュリティアドバイザリーによると、脆弱性の修正は14項目にわたり、危険度「高」が2つ、危険度「中」が9つ、危険度「低」が3つとのことです。以下では、危険度「高」の2件について解説します。

危険度「高」の2つの脆弱性について

まず初めに、危険度「高」とされた2つの脆弱性は、証明書自体に直接影響があるというわけではございません。SSLサーバ証明書の再発行、失効、再設定などは不要で、現状のままご利用いただけます。

当脆弱性は、OpenSSLのバージョン1.0.1, 1.0.0, 0.9.8に影響があります。以下のようにアップデートをしてください。加えて、ソフトウェアベンダーとともに最新のセキュリティアドバイザリーと利用可能なアップデートをご確認ください。

  • OpenSSL 1.0.1をご利用中のお客様 ⇒ 1.0.1kにアップグレード
  • OpenSSL 1.0.0をご利用中のお客様 ⇒ 1.0.0pにアップグレード
  • OpenSSL 0.9.8をご利用中のお客様 ⇒ 0.9.8zdにアップグレード

トピック関連記事

#

2017年11月28日

過去のSSL/TLS攻撃事例から対策を学ぶ

#

2014年12月10日

POODLE脆弱性がSSL 3.0からTLS 1.0 / TLS 1.1に拡大

#

2016年03月25日

DROWN攻撃による脆弱性の対策を

この記事を書きました

Janine Marchi

Janine Marchi
所属:Digital Marketing Director, GlobalSign Inc.