※追記すべき情報がある場合には、その都度このページを更新する予定です。
概要
OpenSSL は、SSL および TLS の機能を提供する、オープンソースのライブラリです。
この OpenSSL において、サービス運用妨害(DoS)の脆弱性が確認されています。
この脆弱性が悪用された場合、OpenSSL を実行しているサーバおよびクライアントアプリケーションがクラッシュさせられる可能性があります。
今後被害が拡大する可能性があるため、早急に対策を実施して下さい。
影響を受けるシステム
- OpenSSL 1.1.1d、1.1.1e および 1.1.1f
※ 上記バージョン以外でも脆弱性の影響を受ける可能性があります。詳細はベンダに確認してください。
※ この問題は OpenSSL 1.0.2 には影響しませんが、OpenSSL 1.0.2 は既にサポートが終了しているため OpenSSL 1.1.1 へのアップグレードが推奨されています。
対策
1.脆弱性の解消 - 修正プログラムの適用
ベンダから提供されている修正プログラムを適用して下さい。各バージョンの対応状況は、下記リンクよりご確認ください。-
OpenSSL Security Advisory [21 April 2020]
https://www.openssl.org/news/secadv/20200421.txt -
OpenSSL
https://www.openssl.org/policies/secpolicy.html
参考情報
-
OpenSSL Security Advisory [21 April 2020]
https://www.openssl.org/news/secadv/20200421.txt -
OpenSSL
https://www.openssl.org/policies/secpolicy.html - JVNVU#97087254: OpenSSL における NULL ポインタ参照の脆弱性
https://jvn.jp/vu/JVNVU97087254/ - OpenSSL の脆弱性 (CVE-2020-1967) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200018.html - CVE-2020-1967 | debian
https://security-tracker.debian.org/tracker/CVE-2020-1967 - Red Hat Customer Portal
https://access.redhat.com/security/cve/CVE-2020-1967 - CVE-2020-1967 | SUSE
https://www.suse.com/security/cve/CVE-2020-1967/
本件に関するお問い合わせ先
IPA セキュリティセンター
E-mail:
更新履歴
2020年4月23日 | 掲載 |
---|