-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2020-0048
                                                             JPCERT/CC
                                                            2020-12-09

                  <<< JPCERT/CC Alert 2020-12-09 >>>

          OpenSSL の脆弱性 (CVE-2020-1971) に関する注意喚起

            https://www.jpcert.or.jp/at/2020/at200048.html

I. 概要
2020年12月08日 (米国時間)、OpenSSL Project から OpenSSL の脆弱性
(CVE-2020-1971) に関するアップデート情報が公開されました。公開された情
報によると、OpenSSL には、X.509 証明書の GENERAL_NAME が EDIPartyName
を含む場合に、GENERAL_NAME_cmp 関数内で NULL ポインタ参照が発生する脆
弱性があります。この脆弱性を悪用されると、OpenSSL を実行しているサーバー
およびクライアントアプリケーションにおいて、サービス運用妨害 (DoS) 攻
撃が行われる可能性があります。

脆弱性の詳細については、OpenSSL Project の情報を確認してください。

    OpenSSL Project
    OpenSSL Security Advisory [08 December 2020]
    https://www.openssl.org/news/secadv/20201208.txt

対象となるバージョンを使用している場合には、「III. 対策」を参考に、早
期の対応を行うことを強く推奨します。


II. 対象
対象となるバージョンは次のとおりです。

  - OpenSSL 1.1.1 および 1.0.2 のすべてのバージョン

なお、OpenSSL Project によると OpenSSL 1.0.2、OpenSSL 1.1.0 については、
既にサポートが終了しており、アップデートを受け取ることはできないため、
開発者は、OpenSSL1.1.1i へのアップグレードを推奨しています。


III. 対策
OpenSSL Project から脆弱性を修正したバージョンの OpenSSL が公開されて
います。十分なテストを実施の上、修正済みのバージョンを適用することをお
勧めします。

  - OpenSSL 1.1.1i


IV. 参考情報
    OpenSSL Project
    OpenSSL Security Advisory [08 December 2020]
    https://www.openssl.org/news/secadv/20201208.txt

    Debian
    CVE-2020-1967
    https://security-tracker.debian.org/tracker/CVE-2020-1971

    Red Hat Customer Portal
    CVE-2020-1967
    https://access.redhat.com/security/cve/CVE-2020-1971


今回の件につきまして提供いただける情報がございましたら、JPCERT/CC まで
ご連絡ください。

======================================================================
一般社団法人JPCERTコーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email: ew-info@jpcert.or.jp  
-----BEGIN PGP SIGNATURE-----
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=wQP9
-----END PGP SIGNATURE-----