サイバートラスト ジャーナル

OpenSSL 4 つの脆弱性に対応したセキュリティパッチをリリース

2015.12.18
  • このエントリーをはてなブックマークに追加

SSL 証明書に影響する脆弱性ではありませんので、証明書に関連する対応は必要ありませんが、システム管理者は、できるだけ速やかに OpenSSL にパッチを適用する必要があります。

OpenSSL の開発者グループは 12 月 3 日午前 9 時(MST 時間、日本時間 12 月 4 日 午前 1 時)、発見された脆弱性対策として下記のパッチをリリースしました。
バージョン 0.9.8zh / 1.0.0t / 1.0.1q / 1.0.2e
これらのパッチは 4 つの脆弱性を解決するものです。内 3 つは中レベル、1 つは低レベルの脆弱性です。

脆弱性の詳細について確認されたい場合は OpenSSL Security Advisory [3 Dec 2015] を閲覧ください。
特定されているバグは SSL 証明書に影響を与えるものではありませんので、証明書に関連する対応は必要ありません。

IT 管理者は OpenSSL を下記の最新のものに更新してください

  • OpenSSL 1.0.2d 以前のバージョンは 1.0.2e にアップグレード
  • OpenSSL 1.0.1p 以前のバージョンは 1.0.1q にアップグレード
  • OpenSSL 1.0.0s 以前のバージョンは 1.0.0t にアップグレード
  • OpenSSL 0.9.8zg 以前のバージョンは 0.9.8zh にアップグレード

OpenSSL パッチのソースコードは OpenSSL Cryptography and SSL/TLS Toolkit にて取得できます。

OpenSSL アップグレードのお知らせ

OpenSSL は 2015 年 12 月 31 日をもって、OpenSSL バージョン 1.0.0 並びに 0.9.8 のサポートを打ち切ります。したがって、これらのバージョンに対するリリースは、1.0.0t ならびに 0.9.8zh が最終となります。新しいリリースは今後ありません。バージョン 1.0.0 並びに 0.9.8 をお使いの場合は、それ以降のバージョン、できれば 1.0.2 へアップグレードしてください。

OpenSSL の安全性を保つことに関して

OpenSSL コミュ二ティ(専任開発者とセキュリティ専門家グループ)は OpenSSL の脆弱性を発見・解決することに常に注力しています。また、他のオンラインソフトウェアプロバイダー並びにオープンソース開発者との協力のもとに OpenSSL の安全性強化に努めています。
パッチを適用することは時間と労力が必要となりますが、パッチを適用しないことにより発生するリスクのほうがより重大です。OpenSSL の安全性を確保するための対策を怠らないようにしてください。


この記事は、米国 DigiCert の許諾の下 DigiCert Blog の投稿記事を翻訳したものです。
オリジナル記事はこちら: OpenSSL Patches Four Security Vulnerabilities - [2015 年 12 月 3 日投稿]
  • 前の記事へ
  • HOME
  • 次の記事へ