OpenSSLがアップデート - 「Lucky13攻撃」関連など脆弱性5件を修正
OpenSSLの開発チームは、重要度「高」を含む5件の脆弱性に対処したアップデートをリリースした。
修正を公開したOpenSSL
「DROWN」で知られる脆弱性「CVE-2016-0800」に対応した3月のアップデートからおよそ2カ月ぶりの修正で、重要度「高(High)」の脆弱性1件や、「低(Low)」の脆弱性4件に対処した。
重要度「高」の脆弱性は、パディングオラクル攻撃が可能となる脆弱性「CVE-2016-2107」。「マンインザミドル攻撃(MITM攻撃)」により、通信内容が解読されるおそれがある。パディングオラクル攻撃の一種である「Lucky Thirteen攻撃」の脆弱性「CVE-2013-0169」に関連した修正だという。
開発者チームは、同脆弱性を含む5件の脆弱性を「OpenSSL 1.0.2h」および「同1.0.1t」にて解消した。
また今回のアップデートにあわせて、2015年4月より以前のバージョンに影響を与える重要度「高」のメモリ破壊の脆弱性「CVE-2016-2108」もあらたに明らかとなった。「同1.0.2c」「同1.0.1o」以降であれば影響を受けないが、あわせて注意を呼びかけている。
今回明らかとなった脆弱性は以下のとおり。
CVE-2016-2108
CVE-2013-0169
CVE-2016-2105
CVE-2016-2106
CVE-2016-2109
CVE-2016-2176
(Security NEXT - 2016/05/06 )
ツイート
PR
関連記事
「Oracle Agile PLM」に情報漏洩の脆弱性 - 定例外パッチで緊急対応
「Chrome」にアップデート - 3件のセキュリティ修正を実施
NVIDIAのGPUリソース管理ツールに深刻な脆弱性 - アップデートを
TIBCOの分散アプリ監視管理ツールに深刻な脆弱性 - 修正アップデートが公開
「iOS」「iPadOS」のアップデート公開 - ゼロデイ脆弱性を修正
Apple、「macOS」向けにゼロデイ脆弱性を解消するアップデート
Palo Alto、「PAN-OS」の脆弱性を特定して修正 - すでに悪用も
Apache Traffic Serverに複数の脆弱性 - アップデートで修正
Synologyの監視カメラ3モデルに深刻な脆弱性
「MS Edge 131」を公開 - 独自含む脆弱性9件を解消
