t

【重要】OpenSSL の脆弱性 (CVE-2020-1971) に関する注意喚起

APACHE

平素より、弊社スカイアーチネットワークスのサービスをご利用頂きまして、誠に有難う御座います。

OpenSSLにて脆弱性が報告されました。脆弱性情報と対応に関して下記の通り報告させて頂きます。

概要

2020年12月08日 (米国時間)、OpenSSL Project から OpenSSL の脆弱性(CVE-2020-1971) に関するアップデート情報が公開されました。公開された情報によると、OpenSSL には、X.509 証明書のGENERAL_NAME が EDIPartyNameを含む場合に、GENERAL_NAME_cmp 関数内で NULL ポインタ参照が発生する脆弱性があります。この脆弱性を悪用されると、OpenSSL を実行しているサーバーおよびクライアントアプリケーションにおいて、サービス運用妨害 (DoS) 攻撃が行われる可能性があります。

脆弱性の詳細については、OpenSSL Project の情報を確認してください。

OpenSSL Project
OpenSSL Security Advisory [08 December 2020]

対象となるバージョンを使用している場合には、「対策」を参考に、早期の対応を行うことを 強く推奨します

対象

本脆弱性の影響を受けるバージョンは次のとおりです。

  • OpenSSL 1.1.1 および 1.0.2 のすべてのバージョン

なお、OpenSSL Project によると OpenSSL 1.0.2、OpenSSL 1.1.0 については、既にサポートが終了しており、アップデートを受け取ることはできないため、開発者は、OpenSSL1.1.1i へのアップグレードを推奨しています。

対策

OpenSSL Project から脆弱性を修正したバージョンの OpenSSL が公開されています。十分なテストを 実施の上、修正済みのバージョンを適用することをお勧めします。

  • OpenSSL 1.1.1i

参考情報

OpenSSL Project
OpenSSL Security Advisory [08 December 2020]

Debian
CVE-2020-1967

Red Hat Customer Portal
CVE-2020-1967

備考

最終更新日

2020.12.11

お電話でのご相談・お問い合わせはこちら

お電話でのご相談・お問い合わせはこちら 03-6743-1100 価格や仕様、サービスの詳細などのお問合せから、クラウド導入についてのわからないことなどまで。

価格・仕様などサービス詳細のお問い合わせや、クラウド導入の分からないことなど、お気軽にご連絡ください。

フォームでのお問い合わせ(無料)