【注意喚起】OpenSSL の脆弱性 (CVE-2020-1967) に関する注意喚起

OpenSSL の脆弱性 (CVE-2020-1967) に関する注意喚起がありました。

I. 概要
2020年4月21日 (米国時間)、OpenSSL Project から OpenSSL の脆弱性 (CVE-2020-1967) に関するアップデート情報が公開されました。公開された情報によると OpenSSL には、TLS 拡張「signature_algorithms_cert」の誤った処理により NULL ポインタ参照が発生する脆弱性があり、悪用されると、OpenSSLを実行しているサーバおよびクライアントアプリケーションにおいて、サービス運用妨害 (DoS) 攻撃が行われる可能性があります。

脆弱性の詳細については、OpenSSL Project の情報を確認してください。

OpenSSL Project
OpenSSL Security Advisory [21 April 2020]

対象となるバージョンを使用している場合には、「III. 対策」を参考に、早期の対応を行うことを強く推奨します。

II. 対象
以下のバージョンが脆弱性の影響を受けます。

- OpenSSL 1.1.1d、1.1.1e および 1.1.1f

なお、OpenSSL Project によると OpenSSL 1.0.2、OpenSSL 1.1.0 は本脆弱性の影響を受けないとのことです。ただし、既にサポートが終了しており、アップデートを受け取ることはできないため、開発者はOpenSSL1.1.1 へのアップグレードを推奨しています。

III. 対策
OpenSSL Project から脆弱性を修正したバージョンの OpenSSL が公開されています。十分なテストを実施の上、修正済みのバージョンを適用することをお勧めします。

- OpenSSL 1.1.1g

IV. 参考情報
JVNVU#97087254
OpenSSL における NULL ポインタ参照の脆弱性

Debian
CVE-2020-1967

Red Hat Customer Portal
CVE-2020-1967