インソースマーケティングデザイン
2015.03.27 システム
OpenSSLの複数の脆弱性対応について
システムエンジニアの大貫です。
2014年4月に発生したOpenSSlの深刻な脆弱性「Heartbeat」は、記憶に新しいですが、それ以降、脆弱性のニュースが気になってしまいます。
以前の記事でSSL3.0の脆弱性「POODLE」についても触れましたが、先日OpenSSLがバージョンアップし、複数の脆弱性が修正されたようです。
以下の様な脆弱性が対応されたとの事でしたが、深刻なものでは、DoS攻撃や、暗号通信盗聴の脆弱が修正されたようです。
今回のバージョンアップを行うことで、不具合が改修されたので、順次バージョンアップ作業を行っていきます。
【対応された脆弱性】
◆深刻度 – 高 (Severity: High)
OpenSSL 1.0.2 ClientHello sigalgs DoS (CVE-2015-0291)
Reclassified: RSA silently downgrades to EXPORT_RSA [Client] (CVE-2015-0204)
◆深刻度 – 中 (Severity: Moderate)
Multiblock corrupted pointer (CVE-2015-0290)
Segmentation fault in DTLSv1_listen (CVE-2015-0207)
Segmentation fault in ASN1_TYPE_cmp (CVE-2015-0286)
Segmentation fault for invalid PSS parameters (CVE-2015-0208)
ASN.1 structure reuse memory corruption (CVE-2015-0287)
PKCS7 NULL pointer dereferences (CVE-2015-0289)
Base64 decode (CVE-2015-0292)
DoS via reachable assert in SSLv2 servers (CVE-2015-0293)
Empty CKE with client auth and DHE (CVE-2015-1787)
◆深刻度 – 低 (Severity: Low)
Handshake with unseeded PRNG (CVE-2015-0285)
Use After Free following d2i_ECPrivatekey error (CVE-2015-0209)
X509_to_X509_REQ NULL pointer deref (CVE-2015-0288)
