脆弱性を修正した「OpenSSL 3.0.2/1.1.1n/1.0.2zd」リリース

OpenSSL.orgは3月15日(現地時間)、「OpenSSL 3.0.2/1.1.1n/1.0.2zd」をリリースした。脆弱性の修正となる。

OpenSSL 3.0、1.1.1、1.0.2系に存在している、処理が無限ループに陥る脆弱性が修正されている。この脆弱性は、モジュラー平方根の処理に存在するバグに起因し、不正に細工されたデータを渡された場合、無限ループに陥る危険がある。

脆弱性が修正されたバージョンは、「OpenSSL 1.0.2zd」「OpenSSL 1.1.1n」「OpenSSL 3.0.2」となっている。なお、「OpenSSL 1.0.2」系は本来サポートが終了しており、プレミアムサポートを利用しているユーザーのみが延長サポートを受けられる。「OpenSSL 1.1.0」系もすでにサポートが終了しており、こちらはアップデートが提供されていない。ユーザは「OpenSSL 3.0.2」または「OpenSSL 1.1.1n」へアップグレードすることが強く推奨される。

(川原 龍人/びぎねっと)

[関連リンク]
ニュースリリース