OpenSSL、複数の脆弱性を修正したアップデートを公開
OpenSSLは複数の脆弱性を修正したアップデートを公開した。今回修正された脆弱性は3件で、深刻度がHigh、Moderate、Lowが各1件ずつとなっている。
深刻度HighではOpenSSL 1.1.0のciphersuite ChaCha20/Poly1305に含まれるヒープバッファオーバーフローの脆弱性「CVE-2016-7054」を修正した。この脆弱性が悪用されると、サービス運用妨害によりOpenSSLがクラッシュし、サービスが停止になる恐れがある。
深刻度Moderateでは、脆弱性「CVE-2016-7053」のCMSのNullポインタ参照の脆弱性に対応した。これもOpenSSL 1.1.0が影響を受ける。同社はこれらの脆弱性を修正したOpenSSL 1.1.0cを公開した。アップデートによりこれらの脆弱性は修正される。
深刻度LowではOpenSSL 1.0.2の存在するモンゴメリ乗算処理の脆弱性が存在するが、重要度が低いためOpenSSL 1.0.2のアップデートは現在は公開されていない。
