OpenSSLに重大な脆弱性 2021年3月25日報告 | APPSWINGBYセキュリティニュース

OpenSSL Projectが、2021年3月25日(現地時間)にOpenSSLの脆弱性に関する情報「25-Mar-2021 OpenSSL 1.1.1k is now available, including bug and security fixes(外部リンク)」を公開しました。

X.509証明書の検証の脆弱性と悪意を持った再ネゴシエーションが送信されるとOpenSSL TLSサーバーがクラッシュする可能性がある脆弱性があるとし、緊急度の高い(重大度:高)脆弱性とし、OpenSSL1.1.1kへのバージョンアップを推奨しています。

対象となるOpenSSLのバージョン

CA certificate check bypass with X509_V_FLAG_X509_STRICT (CVE-2021-3450)

OpenSSL 1.1.1h、OpenSSL 1.1.1iおよびOpenSSL 1.1.1j

Severity: High

NULL pointer deref in signature_algorithms processing (CVE-2021-3449)

OpenSSL 1.1.1kより前の1.1.1系のバージョン

Severity: High

セキュリティアドバイザリ

このセキュリティアドバイザリのURLはこちら(外部リンク)です。

最新版のOpenSSL

opnessl-1.1.1k.tar.gzとして、2021年3月25日(現地時間)に公開されています。

重大度:大と報告されている脆弱性が2件報告されていますので、対象となるバージョンのOpenSSLをご利用されている方は、至急、バージョンアップされることをお奨めします。