2022年10月25日(UTC)にOpenSSLプロジェクトから、OpenSSL※1利用中のお客様環境に影響する可能性のある重大な脆弱性についての発表がありました。発表内容の詳細は以下をご確認ください。

OpenSSLプロジェクトは、その脆弱性レベル深刻度評価で最も高い緊急レベルの脆弱性を発見しました。また、この脆弱性に対処するため、OpenSSL修正版(v3.0.7)を緊急で2022年11月1日(火)UTC時間13:00 – 17:00(日本時間11月1日22:00 – 11月2日2:00)にリリースすると発表がありました。

今回発見された脆弱性によってアップデートが必要となる対象は、OpenSSL Version3.0以降です。お客様の環境でOpenSSL利用の有無をご確認いただき、Version3.0以降をご利用中の場合は、2022年11月1日に修正版がリリースされ次第、アップデート対応をされることを推奨いたします。

なお、Version1.1.1をご利用中の場合、今回の脆弱性の影響は受けませんが、同日にVersion1.1.1sがリリースされますので、対応を推奨いたします。

脆弱性の詳細や改修スペックの具体的な内容は、セキュリティ上の問題が発見された場合の標準的な慣例と同様に、パッチ前の攻撃リスクを避けるために公開はされていません。

OpenSSLプロジェクトは「緊急」の評価を以下の様に定義しています。

GMOグローバルサインは、お客様に信頼いただけるデジタルパートナーとして、本件の経過を監視し、更なる対応が必要な場合には、適宜ご連絡いたします。

※1 OpenSSLは、OpenSSLプロジェクトによって開発された、インターネット上でSSL/TLSプロトコルを利用した暗号化通信を可能にする機能を実装したオープンソースソフトウェアライブラリです。サーバやソフトウェアに組み込まれ広く利用されており、HTTPSを利用している場合、OpenSSLを利用している可能性が非常に高くなっています。

トピック関連記事

#

2015年02月25日

Lenovo社製PCに搭載のアドウェア「Superfish」経由で中間者攻撃の脅威

#

2016年03月25日

DROWN攻撃による脆弱性の対策を

#

2021年07月28日

SMSを利用したフィッシング詐欺「スミッシング」から身を守るには

この記事を書きました

グローバルサインブログ編集部

グローバルサインカレッジ編集部
所属:GMOグローバルサイン マーケティング部
当サイトの運営・管理を担当。