公開日:2018/03/28 最終更新日:2019/03/29
JVNVU#93502675
OpenSSL に複数の脆弱性
OpenSSL には複数の脆弱性が存在します。
- OpenSSL
2018年3月27日、OpenSSL Project より OpenSSL Security Advisory [27 Mar 2018] が公開されました。
アドバイザリによると、次に挙げる脆弱性が修正され、修正版の OpenSSL 1.0.2o、1.1.0h がリリースされています。
なお、CVE-2017-3738 については以前の OpenSSL security advisory で情報公開され、OpenSSL 1.0.2 向けの修正バージョンがリリースされていましたが、今回 OpenSSL 1.1.0 向けの修正バージョンもリリースされました。
深刻度 - 中 (Severity: Moderate)
- Incorrect CRYPTO_memcmp on HP-UX PA-RISC (CVE-2018-0733)
- Constructed ASN.1 types with a recursive definition could exceed the stack (CVE-2018-0739)
- rsaz_1024_mul_avx2 overflow bug on x86_64 (CVE-2017-3738)
想定される影響は各脆弱性により異なりますが、サービス運用妨害 (DoS) 攻撃を受けるなどの可能性があります。
アップデートする
本脆弱性を修正した次のバージョンの OpenSSL が提供されています。開発者が提供する情報をもとに、最新版へアップデートしてください。
- OpenSSL 1.0.2o
- OpenSSL 1.1.0h
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2017-3738 |
|
CVE-2018-0733 |
|
|
CVE-2018-0739 |
|
| JVN iPedia |
- 2018/04/03
- ジェイティ エンジニアリング株式会社のベンダステータスが更新されました
- 2018/05/31
- 日本電気株式会社のベンダステータスが更新されました
- 2018/06/27
- 日本電気株式会社のベンダステータスが更新されました
- 2018/09/27
- 日本電気株式会社のベンダステータスが更新されました
- 2018/11/06
- 日本電気株式会社のベンダステータスが更新されました
- 2019/01/28
- BizMobile株式会社のベンダステータスが更新されました
- 2019/03/29
- 日本電気株式会社のベンダステータスが更新されました
