各位
OpenSSL の脆弱性 (CVE-2020-1971) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200048.html
I. 概要2020年12月08日 (米国時間)、OpenSSL Project から OpenSSL の脆弱性(CVE-2020-1971) に関するアップデート情報が公開されました。公開された情報によると、OpenSSL には、X.509 証明書の GENERAL_NAME が EDIPartyNameを含む場合に、GENERAL_NAME_cmp 関数内で NULL ポインタ参照が発生する脆弱性があります。この脆弱性を悪用されると、OpenSSL を実行しているサーバーおよびクライアントアプリケーションにおいて、サービス運用妨害 (DoS) 攻撃が行われる可能性があります。
脆弱性の詳細については、OpenSSL Project の情報を確認してください。
OpenSSL Project
OpenSSL Security Advisory [08 December 2020]
https://www.openssl.org/news/secadv/20201208.txt
対象となるバージョンを使用している場合には、「III. 対策」を参考に、早期の対応を行うことを強く推奨します。
II. 対象対象となるバージョンは次のとおりです。
- OpenSSL 1.1.1 および 1.0.2 のすべてのバージョン
なお、OpenSSL Project によると OpenSSL 1.0.2、OpenSSL 1.1.0 については、既にサポートが終了しており、アップデートを受け取ることはできないため、開発者は、OpenSSL1.1.1i へのアップグレードを推奨しています。
III. 対策OpenSSL Project から脆弱性を修正したバージョンの OpenSSL が公開されています。十分なテストを実施の上、修正済みのバージョンを適用することをお勧めします。
- OpenSSL 1.1.1i
IV. 参考情報
OpenSSL Project
OpenSSL Security Advisory [08 December 2020]
https://www.openssl.org/news/secadv/20201208.txt
Debian
CVE-2020-1967
https://security-tracker.debian.org/tracker/CVE-2020-1971
Red Hat Customer Portal
CVE-2020-1967
https://access.redhat.com/security/cve/CVE-2020-1971
今回の件につきまして提供いただける情報がございましたら、JPCERT/CC までご連絡ください。
==============================
一般社団法人JPCERTコーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email: ew-info@jpcert.or.jp
JPCERT-AT-2020-0048
JPCERT/CC
2020-12-09
JPCERT/CC Alert 2020-12-09
OpenSSL の脆弱性 (CVE-2020-1971) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200048.html
I. 概要2020年12月08日 (米国時間)、OpenSSL Project から OpenSSL の脆弱性(CVE-2020-1971) に関するアップデート情報が公開されました。公開された情報によると、OpenSSL には、X.509 証明書の GENERAL_NAME が EDIPartyNameを含む場合に、GENERAL_NAME_cmp 関数内で NULL ポインタ参照が発生する脆弱性があります。この脆弱性を悪用されると、OpenSSL を実行しているサーバーおよびクライアントアプリケーションにおいて、サービス運用妨害 (DoS) 攻撃が行われる可能性があります。
脆弱性の詳細については、OpenSSL Project の情報を確認してください。
OpenSSL Project
OpenSSL Security Advisory [08 December 2020]
https://www.openssl.org/news/secadv/20201208.txt
対象となるバージョンを使用している場合には、「III. 対策」を参考に、早期の対応を行うことを強く推奨します。
II. 対象対象となるバージョンは次のとおりです。
- OpenSSL 1.1.1 および 1.0.2 のすべてのバージョン
なお、OpenSSL Project によると OpenSSL 1.0.2、OpenSSL 1.1.0 については、既にサポートが終了しており、アップデートを受け取ることはできないため、開発者は、OpenSSL1.1.1i へのアップグレードを推奨しています。
III. 対策OpenSSL Project から脆弱性を修正したバージョンの OpenSSL が公開されています。十分なテストを実施の上、修正済みのバージョンを適用することをお勧めします。
- OpenSSL 1.1.1i
IV. 参考情報
OpenSSL Project
OpenSSL Security Advisory [08 December 2020]
https://www.openssl.org/news/secadv/20201208.txt
Debian
CVE-2020-1967
https://security-tracker.debian.org/tracker/CVE-2020-1971
Red Hat Customer Portal
CVE-2020-1967
https://access.redhat.com/security/cve/CVE-2020-1971
今回の件につきまして提供いただける情報がございましたら、JPCERT/CC までご連絡ください。
==============================
一般社団法人JPCERTコーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email: ew-info@jpcert.or.jp
前
コメント
共 有
