OpenSSL に複数の脆弱性、アップデートを呼びかけ | ScanNetSecurity
2026.05.17(日)

OpenSSL に複数の脆弱性、アップデートを呼びかけ

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月17日、OpenSSL の複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

脆弱性と脅威 セキュリティホール・脆弱性
3351 views
facebookLINE
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月17日、OpenSSL の複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

・CVE-2021-23841、CVE-2021-23840
OpenSSL 1.1.1 系(OpenSSL 1.1.1 から 1.1.1i までの全てのバージョン)
OpenSSL 1.0.2 系(OpenSSL 1.0.2 から 1.0.2x までの全てのバージョン)

・CVE-2021-23839
OpenSSL 1.0.2 系(OpenSSL 1.0.2s から 1.0.2x までの全てのバージョン)

OpenSSL Project が公開した「OpenSSL Security Advisory [16 February 2021]」によると、OpenSSLにはX509_issuer_and_serial_hash 関数の NULL ポインタ参照の脆弱性(CVE-2021-23841)とCipherUpdate での整数オーバーフローの脆弱性(CVE-2021-23840)、不正な SSLv2 ロールバック保護の脆弱性(CVE-2021-23839)が存在する。

想定される影響としては、不正なフィールドを持つ X.509 証明書の検証処理を行うことでサービス運用妨害(DoS)状態にされる(CVE-2021-23841)、EVP_CipherUpdate、EVP_EncryptUpdate、EVP_DecryptUpdate 関数の呼び出し時にプラットフォーム上の整数の最大値に近い値を入力されることでアプリケーションが不正な動作をしたりクラッシュさせられたりする(CVE-2021-23840)、RSA 署名に付与されるパディングの処理に起因するバージョンロールバック攻撃により攻撃者によって SSLv2 接続を強制される(CVE-2021-23839)可能性がある。

JVNでは、OpenSSL 1.1.1 系はOpenSSL 1.1.1jに、OpenSSL 1.0.2 系(OpenSSL 1.0.2 プレミアムサポート契約ユーザのみ)はOpenSSL 1.0.2yへアップデートするよう注意を呼びかけている。なお、OpenSSL 1.1.0 および OpenSSL 1.0.2 はサポート終了のためアップデートは配信されないため、開発者はOpenSSL 1.1.1j へのアップグレードを推奨している。

《ScanNetSecurity》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. 2りんかんイエローハットに不正アクセス、「2りんかんアプリ」で個人情報漏えいの可能性

    2りんかんイエローハットに不正アクセス、「2りんかんアプリ」で個人情報漏えいの可能性

  2. チケジャムを装ったフィッシング詐欺に注意を呼びかけ

    チケジャムを装ったフィッシング詐欺に注意を呼びかけ

  3. 東山産業へのランサムウェア攻撃、データの公開を確認

    東山産業へのランサムウェア攻撃、データの公開を確認

  4. マルタケの一部サーバでのシステム障害、不正アクセス(ランサムウェア)による影響の可能性も含め調査

    マルタケの一部サーバでのシステム障害、不正アクセス(ランサムウェア)による影響の可能性も含め調査

  5. OCN メールアカウント乗っ取り被害、D style web で不正なポイント交換申請発生

    OCN メールアカウント乗っ取り被害、D style web で不正なポイント交換申請発生

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP