United States Computer Emergency Readiness Team (US-CERT)は2月26日(米国時間)、「OpenSSL Releases Security Update|US-CERT」において、OpenSSLに脆弱性(CVE-2019-1559)が存在すると伝えた。

OpenSSL Project はこの脆弱性の重要度を中 (Moderate) と評価している。公開された情報によると、OpenSSL にはパディングオラクル攻撃が可能な脆弱性があり、悪用されると、遠隔の第三者が通信情報を窃取する可能性があるという。

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。。

  • OpenSSL version 1.0.2から1.0.2qまでのバージョン

脆弱性に関する情報は次のページにまとまっている。

  • OpenSSL Security Advisory [26 February 2019] - 0-byte record padding oracle (CVE-2019-1559)

    OpenSSL Security Advisory [26 February 2019] - 0-byte record padding oracle (CVE-2019-1559)

OpenSSL 1.1.1、1.1.0 を使用している場合や暗号スイートに認証暗号 (AEAD) を使用している場合は、この脆弱性の影響を受けないという。

なお、JPCERT/CCは、CyberNewsFlashにおいて「OpenSSL の脆弱性 (CVE-2019-1559) について」という記事を公開し、この脆弱性に対する注意を呼び掛けている。