「OpenSSL」に任意コード実行の脆弱性、パッチ適用を呼びかけ(JVN)
IPAおよびJPCERT/CCは、OpenSSL Projectが提供する「OpenSSL」にバッファオーバーフローの脆弱性が存在すると「JVN」で発表した。
脆弱性と脅威
セキュリティホール・脆弱性
今回、「OpenSSL Security Advisory [6 December 2019]」により公開された脆弱性は、「512 ビット用モジュールのべき乗計算で使用される Montgomery squaring プロシージャにおけるオーバーフローの問題 - CVE-2019-1551」。この脆弱性が悪用されると、攻撃者により任意のコードを実行されたり、サービス運用妨害(DoS)攻撃を受けたりする可能性がある。なお、開発者によると楕円曲線暗号アルゴリズムを用いる場合には本脆弱性の影響は受けないとのこと。
影響を受けるシステムは「OpenSSL 1.1.1」および「OpenSSL 1.0.2」。脆弱性の深刻度は「低(Low)」となっている。JVNでは、開発者が提供する情報をもとにパッチを適用するよう呼びかけている。
《吉澤 亨史( Kouji Yoshizawa )》