AWS導入支援・クラウド運用代行 スカイアーチネットワークス

【重要】OpenSSL に複数の脆弱性

平素より、弊社スカイアーチネットワークスのサービスをご利用頂きまして、誠に有難う御座います。

OpenSSLにて脆弱性が報告されました。脆弱性情報と対応に関して下記の通り報告させて頂きます。

OpenSSLの脆弱性(CVE-2021-3450、CVE-2021-3449)に関する注意喚起

概要

2021年3月25日(現地時間)、OpenSSL ProjectからOpenSSLの脆弱性(CVE-2021-3450、CVE-2021-3449)に関する情報が公開されました。OpenSSLには、X.509証明書の検証不備の脆弱性やセッション確立時に細工したメッセージを処理することでNULLポインタ参照が発生する脆弱性があります。脆弱性が悪用された場合、不正なCA証明書を認証したり、OpenSSLが実行されているサーバーがサービス運用妨害(DoS)を受けたりする可能性があります。

脆弱性の詳細については、OpenSSL Projectの情報を確認してください。

OpenSSL Project
OpenSSL Security Advisory [25 March 2021]

対象となるバージョンを使用している場合には、「対策」を参考に、早期の対応を行うことを強く推奨します。

対象

対象となるバージョンは次のとおりです。

CVE-2021-3450
– OpenSSL 1.1.1h、OpenSSL 1.1.1iおよびOpenSSL 1.1.1j

CVE-2021-3449
– OpenSSL 1.1.1kより前の1.1.1系のバージョン

なお、OpenSSL Projectによると OpenSSL 1.0.2、OpenSSL 1.1.0については、既にサポートが終了しており、アップデートを受け取ることはできないため、開発者は、OpenSSL1.1.1kへのアップグレードを推奨しています。

対策

OpenSSL Projectから脆弱性を修正したバージョンのOpenSSLが公開されています。十分なテストを実施の上、修正済みのバージョンを適用することをお勧めします。

  • ・OpenSSL 1.1.1k

参考情報

備考

最終更新日 2021.03.26

お気軽にご相談ください

03-6743-1100

平日10:00 - 18:00 ※祝日は除く

スカイアーチネットワークスは、AWS アドバンストティアサービスパートナーです

  • AWS アドバンストティアサービスパートナー
  • AWS レベル1 MSSP コンピテンシー
  • AWS MSPパートナープログラム
  • AWS Well-Architected パートナープログラム
  • AWS 公共部門パートナープログラム
  • AWS ソリューションプロバイダー
  • AWS 公共部門ソリューションプロバイダー
  • AWS トレーニングパートナー
  • AWS サービスデリバリープログラム Amazon DynamoDB
  • AWS サービスデリバリープログラム Amazon CloudFront
  • APN Immersion Days
  • aws 400 CERTIFIED
  • 2023 Japan AWS Ambassadors
  • 2023 Japan Top Engineers
  • 2023 Japan All Certifications Engineers