OpenSSL に複数の脆弱性、アップデートを呼びかけ | ScanNetSecurity
2026.04.26(日)

OpenSSL に複数の脆弱性、アップデートを呼びかけ

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月17日、OpenSSL の複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

脆弱性と脅威 セキュリティホール・脆弱性
3351 views
facebookLINE
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月17日、OpenSSL の複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

・CVE-2021-23841、CVE-2021-23840
OpenSSL 1.1.1 系(OpenSSL 1.1.1 から 1.1.1i までの全てのバージョン)
OpenSSL 1.0.2 系(OpenSSL 1.0.2 から 1.0.2x までの全てのバージョン)

・CVE-2021-23839
OpenSSL 1.0.2 系(OpenSSL 1.0.2s から 1.0.2x までの全てのバージョン)

OpenSSL Project が公開した「OpenSSL Security Advisory [16 February 2021]」によると、OpenSSLにはX509_issuer_and_serial_hash 関数の NULL ポインタ参照の脆弱性(CVE-2021-23841)とCipherUpdate での整数オーバーフローの脆弱性(CVE-2021-23840)、不正な SSLv2 ロールバック保護の脆弱性(CVE-2021-23839)が存在する。

想定される影響としては、不正なフィールドを持つ X.509 証明書の検証処理を行うことでサービス運用妨害(DoS)状態にされる(CVE-2021-23841)、EVP_CipherUpdate、EVP_EncryptUpdate、EVP_DecryptUpdate 関数の呼び出し時にプラットフォーム上の整数の最大値に近い値を入力されることでアプリケーションが不正な動作をしたりクラッシュさせられたりする(CVE-2021-23840)、RSA 署名に付与されるパディングの処理に起因するバージョンロールバック攻撃により攻撃者によって SSLv2 接続を強制される(CVE-2021-23839)可能性がある。

JVNでは、OpenSSL 1.1.1 系はOpenSSL 1.1.1jに、OpenSSL 1.0.2 系(OpenSSL 1.0.2 プレミアムサポート契約ユーザのみ)はOpenSSL 1.0.2yへアップデートするよう注意を呼びかけている。なお、OpenSSL 1.1.0 および OpenSSL 1.0.2 はサポート終了のためアップデートは配信されないため、開発者はOpenSSL 1.1.1j へのアップグレードを推奨している。

《ScanNetSecurity》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. IPA が SCS評価制度の詳細を公表

    IPA が SCS評価制度の詳細を公表

  2. 医療システム開発企業のコーポレートサイトで SSL 証明書が有効期限切れ

    医療システム開発企業のコーポレートサイトで SSL 証明書が有効期限切れ

  3. 村田製作所への不正アクセス 第2報 ~ 顧客・取引先・従業員の個人情報不正取得を確認

    村田製作所への不正アクセス 第2報 ~ 顧客・取引先・従業員の個人情報不正取得を確認

  4. システム全面復旧は 6 月予定 ~ 青山メイン企画へのランサムウェア攻撃

    システム全面復旧は 6 月予定 ~ 青山メイン企画へのランサムウェア攻撃

  5. 受託業務で受領したデータの様式を同意なく別業務へ流用、非表示設定となっていたワークシート内に顧客情報が残存

    受託業務で受領したデータの様式を同意なく別業務へ流用、非表示設定となっていたワークシート内に顧客情報が残存

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP