2016年5月6日金曜日

OpenSSL 1.0.2h, 1.0.1t がリリース | ライタス株式会社

日本はゴールデンウィークですが、他国では平日だということを忘れてしまいそうなところ、こんなニュースが流れてきました。

OpenSSL Security Advisory [3rd May 2016]
https://www.openssl.org/news/secadv/20160503.txt

要約すると、「アップデートしてね」ということなのですが、セキュリティランクが「高」のものが修正されてるようです。
修正箇所については、以下のサイトが詳しいです。

OpenSSLに複数の脆弱性(CVE-2016-2107, CVE-2016-2108等)
http://oss.sios.com/security/general-security-20160504


内容を読んでみると、パディングオラクル攻撃が可能になるバグがあるとのことで、こちらの攻撃手法は、ちょっと前に騒ぎになった、POODLE脆弱性と同じような脆弱性が見つかったということのようです。

1.0.1系は、今年いっぱいでサポート終了のアナウンスがされていますので、アップデートされていない場合は、適宜アップデートを実施されるのが良いかと思います。


0 件のコメント:

コメントを投稿