【注意喚起】OpenSSL の脆弱性 (CVE-2020-1971) に関する注意喚起

OpenSSL の脆弱性 (CVE-2020-1971) に関する注意喚起がありました。

I. 概要
　2020年12月08日 (米国時間)、OpenSSL Project から OpenSSL の脆弱性(CVE-2020-1971) に関する
　アップデート情報が公開されました。公開された情報によると、OpenSSL には、X.509 証明書の
　GENERAL_NAME が EDIPartyNameを含む場合に、GENERAL_NAME_cmp 関数内で NULL ポインタ
　参照が発生する脆弱性があります。この脆弱性を悪用されると、OpenSSL を実行しているサーバー
　およびクライアントアプリケーションにおいて、サービス運用妨害 (DoS) 攻撃が行われる可能性が
　あります。

　脆弱性の詳細については、OpenSSL Project の情報を確認してください。

　OpenSSL Project
　OpenSSL Security Advisory [08 December 2020]

　対象となるバージョンを使用している場合には、「III. 対策」を参考に、早期の対応を行うことを
　強く推奨します。

II. 対象
　対象となるバージョンは次のとおりです。

　　- OpenSSL 1.1.1 および 1.0.2 のすべてのバージョン

　なお、OpenSSL Project によると OpenSSL 1.0.2、OpenSSL 1.1.0 については、既にサポート
　が終了しており、アップデートを受け取ることはできないため、開発者は、OpenSSL1.1.1i への
　アップグレードを推奨しています。

III. 対策
　OpenSSL Project から脆弱性を修正したバージョンの OpenSSL が公開されています。
　十分なテストを実施の上、修正済みのバージョンを適用することをお勧めします。

　- OpenSSL 1.1.1i

IV. 参考情報
　OpenSSL Project
　OpenSSL Security Advisory [08 December 2020]

　Debian
　CVE-2020-1967

　Red Hat Customer Portal
　CVE-2020-1967