OpenSSLに複数の脆弱性が発表される
OpenSSL Security Advisory [22 Sep 2016]
OpenSSLにDoS攻撃を受ける可能性がある脆弱性が発表され話題となっています。DoS攻撃については以前に記事を書きましたのでそちらをご覧ください。
今回、発表された複数の脆弱性は、4段階のPriority(重要度)の中で2番目のHighのものも含まれていますので、該当するバージョンのOpenSSLを使っている環境の方は、注意が必要です。
該当のバージョン
以下のversionが該当します。
– OpenSSL 1.1.0系(OpenSSL 1.1.0a より前のバージョン)
– OpenSSL 1.0.2系(OpenSSL 1.0.2i より前のバージョン)
– OpenSSL 1.0.1系(OpenSSL 1.0.1u より前のバージョン)
それぞれのバージョンに対して、脆弱性が修正された最新版がリリースされていますので、早急にアップデートを行ってください。
最新版のダウンロード先
- OpenSSL 1.1.0 Series Release Notes
- OpenSSL 1.0.2 Series Release Notes
- OpenSSL 1.0.1 Series Release Notes
1.0.1は年内でサポート終了予定
OpenSSL1.0.1系は2016年12月31日にサポート終了予定となっています。
それ以降で脆弱性が発見されても、今後はパッチは公開されませんので早めのアップデートをご検討ください!!
ちなみにDoS攻撃ではこんなニュースも
今回の脆弱性とは直接は関係ありませんが、こんなニュースが飛び込んできました。
なんと1TbpsのトラフィックのDoS攻撃が行われたようです。セキュリティ関係のニュースサイトが標的となったとのことなので、私たちも気をつけねばなりません…。
それにしても、その圧倒的な物量を前にしてもサーバは落ちなかったということですから、ホスティングしているAkamai Technologiesのアーキテクチャはどのようになっているのか気になって夜も眠れません!
脆弱性の対応の基本はアップデートすること
脆弱性に対応する基本は常に最新のバージョンにアップデートすることです。常に最新の情報に目を光らせて、脆弱性が公表されたらすぐに対応できるようにしておきましょう!
