OpenSSL、計8件の脆弱性を修正 4
ストーリー by headless
修正 部門より
修正 部門より
OpenSSLは8日、OpenSSL 0.98zd、1.0.0p、1.0.1kをリリースした。これらのバージョンでは計8件(6件は各バージョン共通、2件は1.0.0pと1.0.1kのみ)の脆弱性が修正されている(OpenSSL Security Advisory、
JVNVU#98974537、
ITworldの記事、
本家/.)。
脆弱性の深刻度は「中」が2件、「低」が6件。深刻度「中」とされている2件(CVE-2014-3571、 CVE-2015-0206) はいずれもDTLSに関するもので、悪用するとDoS攻撃が可能になるという。深刻度「低」とされている脆弱性はDoS攻撃を可能にするもの(CVE-2014-3569) 、クライアントへのダウングレード攻撃を可能にするもの(CVE-2014-3572、 CVE-2015-0204 )、クライアントのDH証明書を検証せずに認証してしまうというもの(CVE-2015-0205) 、保護機構の迂回を可能にするもの(CVE-2014-8275、 CVE-2014-3570)となっている。
脆弱性の深刻度は「中」が2件、「低」が6件。深刻度「中」とされている2件(CVE-2014-3571、 CVE-2015-0206) はいずれもDTLSに関するもので、悪用するとDoS攻撃が可能になるという。深刻度「低」とされている脆弱性はDoS攻撃を可能にするもの(CVE-2014-3569) 、クライアントへのダウングレード攻撃を可能にするもの(CVE-2014-3572、 CVE-2015-0204 )、クライアントのDH証明書を検証せずに認証してしまうというもの(CVE-2015-0205) 、保護機構の迂回を可能にするもの(CVE-2014-8275、 CVE-2014-3570)となっている。
libresslにも一部影響 (スコア:3, 参考になる)
http://it.slashdot.org/comments.pl?sid=6690257&cid=48779925 [slashdot.org]
一部はもう直ってた。一部は影響あり。
Re:libresslにも一部影響 (スコア:1)
Note that the OpenSSL development is now much more agile and the need for the libressl fork is not so clear anymore. [redhat.com]だそうです。Fedora21にもepelにもパッケージはないみたいですね。
Re: (スコア:0)
OpenSSL development が more agile になったからといって
OpenSSL に古いコードがてんこ盛り埋まっている状態が解決されたわけではないよね
Re:libresslにも一部影響 (スコア:1)
LibreSSLやBoringSSLがやっているように不要なコードをバサバサ削除しているならともかくそういう話は聞かないしな。
# BoringSSLにはChromeで使う機能しか必要ないからfork元がそのまま真似られるものでもないが