OpenSSL、証明書の認証エラーの脆弱性を修正したアップデートを公開
OpenSSLは深刻な証明書認証エラーの脆弱性を修正したアップデートを公開した。影響を受けるのはOpenSSL versions 1.0.2c、1.0.2b、1.0.1n、1.0.1o.で、6月11日に公開されたこれらのバージョンをアップデートした場合のみ存在する。
アドバイザリーによると、証明書認証の際、OpenSSLは通常、最初の認証を試行して認証ができなかった場合には代替の証明書チェーンを探すが、このロジックの実装のエラーにより、攻撃者がCAフラグなどをバイパスして信頼できない証明書を偽造できてしまう。この問題はSSL/TLS/DTLSクライアントやSSL/TLS/DTLSサーバを含む証明書の認証をするアプリケーションに影響すると思われる。
解決策として、OpenSSL 1.0.2b及び1.0.2cのユーザは1.0.2dへ、OpenSSL 1.0.1n及び1.0.1oのユーザは1.0.1pにアップデートすることでこの脆弱性は解消される。
