Security Affairsは12月8日(米国時間)、「OpenSSL is affected by a ‘High Severity’ security flaw, update it nowSecurity Affairs」において、OpenSSL 1.1.1シリーズに重大な脆弱性が発見され、OpenSSLプロジェクトチームが修正版となるOpenSSL 1.1.1iをリリースしたことを伝えた。この脆弱性が悪用されると、攻撃者によって対象のシステムがサービス拒否(DoS)攻撃にさらされる危険性があるという。

OpenSSL 1.1.1iにおける変更点については、下記リリースノートにまとめられている。

  • Changes between 1.1.1h and 1.1.1

    Changes between 1.1.1h and 1.1.1

また、該当の脆弱性「CVE-2020-1971」については、OpenSSLプロジェクトによる次のセキュリティアドバイザリに詳しくまとめられている。

この脆弱性は、X.509のGeneralNameタイプを処理するGENERAL_NAME_cmp関数に存在するもので、複数のインスタンスのGENERAL_NAMEを比較する際に両方のインスタンスにEDIPARTYNAMEタイプが含まれる場合、NULLポインターの逆参照が発生してプログラムがクラッシュし、サービス拒否状態に陥る可能性があるという。

OpenSSL 1.1.1シリーズおよび1.0.2シリーズのすべてのバージョンがこの脆弱性の影響を受けるとのこと。これらのバージョンを利用するユーザは、早急にOpenSSL 1.1.1iにアップグレードすることが推奨されている。なお、OpenSSL 1.0.2シリーズについてはすでにサポートが終了しているため、パブリックアップデートは提供されない。また、OpenSSL 1.1.0シリーズについてもすでにサポートが終了しており、この脆弱性の影響については分析されていないとのことだ。