OpenSSLに重大な脆弱性 2021年3月25日報告 | APPSWINGBYセキュリティニュース

OpenSSL Projectが、2021年3月25日（現地時間）にOpenSSLの脆弱性に関する情報「25-Mar-2021 OpenSSL 1.1.1k is now available, including bug and security fixes（外部リンク）」を公開しました。

X.509証明書の検証の脆弱性と悪意を持った再ネゴシエーションが送信されるとOpenSSL TLSサーバーがクラッシュする可能性がある脆弱性があるとし、緊急度の高い（重大度：高）脆弱性とし、OpenSSL1.1.1kへのバージョンアップを推奨しています。

対象となるOpenSSLのバージョン

CA certificate check bypass with X509_V_FLAG_X509_STRICT (CVE-2021-3450)

OpenSSL 1.1.1h、OpenSSL 1.1.1iおよびOpenSSL 1.1.1j

Severity: High

NULL pointer deref in signature_algorithms processing (CVE-2021-3449)

OpenSSL 1.1.1kより前の1.1.1系のバージョン

Severity: High

セキュリティアドバイザリ

このセキュリティアドバイザリのURLはこちら（外部リンク）です。

最新版のOpenSSL

opnessl-1.1.1k.tar.gzとして、2021年3月25日（現地時間）に公開されています。

重大度：大と報告されている脆弱性が2件報告されていますので、対象となるバージョンのOpenSSLをご利用されている方は、至急、バージョンアップされることをお奨めします。