各位

JPCERT-AT-2016-0038
JPCERT/CC
2016-09-28

JPCERT/CC Alert 2016-09-28

OpenSSL の脆弱性 (CVE-2016-6309) に関する注意喚起

https://www.jpcert.or.jp/at/2016/at160038.html


I. 概要

OpenSSL Project が提供する OpenSSL には脆弱性 (CVE-2016-6309) があります。遠隔の第三者が、脆弱性を悪用するように細工したメッセージを送信することで、OpenSSL を実行しているサーバにおいて、任意のコードを実行されたり、サービス運用妨害 (DoS) 攻撃が行われるなどの可能性があります。
影響を受ける脆弱性の詳細については、OpenSSL Project の情報を確認してください。

OpenSSL Project
OpenSSL Security Advisory [26 Sep 2016]
https://www.openssl.org/news/secadv/20160926.txt

本脆弱性は、OpenSSL Project が 2016年9月22日（現地時間）に提供された脆弱性
(CVE-2016-6307) のパッチ (1.1.0a) に起因するため、前記パッチを適用している場合にのみ影響を受けます。
影響するバージョンを使用している場合には、「III. 対策」を参考に、早期の対応を行うことを強く推奨します。


II. 対象

以下のバージョンが脆弱性の影響を受けます。

- OpenSSL 1.1.0a


III. 対策

OpenSSL Project から脆弱性を修正したバージョンの OpenSSL が公開されています。十分なテストを実施の上、修正済みのバージョンを適用することをお勧めします。

- OpenSSL 1.1.0b


IV. 参考情報

JVNVU#99474230
OpenSSL に複数の脆弱性
https://jvn.jp/vu/JVNVU99474230/

US-CERT
OpenSSL Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2016/09/23/OpenSSL-Releases-Security-Updates


今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。


==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/