【注意喚起】OpenSSLの脆弱性(CVE-2021-3450、CVE-2021-3449)に関する注意喚起
OpenSSLの脆弱性(CVE-2021-3450、CVE-2021-3449)に関する注意喚起がありました。
1. 概要
2021年3月25日(現地時間)、OpenSSL ProjectからOpenSSLの脆弱性(CVE-2021-3450、
CVE-2021-3449)に関する情報が公開されました。OpenSSLには、X.509証明書の検証不備の
脆弱性やセッション確立時に細工したメッセージを処理することでNULLポインタ参照が発生
する脆弱性があります。脆弱性が悪用された場合、不正なCA証明書を認証したり、OpenSSLが
実行されているサーバーがサービス運用妨害(DoS)を受けたりする可能性があります。
脆弱性の詳細については、OpenSSL Projectの情報を確認してください。
OpenSSL Project
OpenSSL Security Advisory [25 March 2021]
対象となるバージョンを使用している場合には、「III. 対策」を参考に、早期の対応を行うことを
強く推奨します。
2. 対象
対象となるバージョンは次のとおりです。
CVE-2021-3450
- OpenSSL 1.1.1h、OpenSSL 1.1.1iおよびOpenSSL 1.1.1j
CVE-2021-3449
- OpenSSL 1.1.1kより前の1.1.1系のバージョン
なお、OpenSSL Projectによると OpenSSL 1.0.2、OpenSSL 1.1.0 については、既にサポートが
終了しており、アップデートを受け取ることはできないため、開発者は、OpenSSL1.1.1k への
アップグレードを推奨しています。
3. 対策
OpenSSL Projectから脆弱性を修正したバージョンのOpenSSLが公開されています。
十分なテストを実施の上、修正済みのバージョンを適用することをお勧めします。
- OpenSSL 1.1.1k
4. 参考情報
OpenSSL Project
OpenSSL Security Advisory [25 March 2021]
Debian
CVE-2021-3450
CVE-2021-3449
Red Hat Customer Portal
CVE-2021-3450
CVE-2021-3449
