JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は2月17日、「JVNVU#94508446: OpenSSL に複数の脆弱性」において、OpenSSLに複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によってサービス妨害攻撃(DoS: Denial of Service attack)、SSLv2接続の強制、アプリケーション不正動作やクラッシュなどを引き起こされる可能性があるとされており注意が必要。

脆弱性に関する情報は次のページにまとまっている。

  • OpenSSL Security Advisory [16 February 2021] - Null pointer deref in X509_issuer_and_serial_hash() (CVE-2021-23841)

    OpenSSL Security Advisory [16 February 2021] - Null pointer deref in X509_issuer_and_serial_hash() (CVE-2021-23841)

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • OpenSSL 1.1.1から1.1.1iまでのすべてのバージョン(CVE-2021-23841、CVE-2021-23840)
  • OpenSSL 1.0.2から1.0.2xまでのすべてのバージョン(CVE-2021-23841、CVE-2021-23840)
  • OpenSSL 1.0.2sから1.0.2xまでのすべてのバージョン(CVE-2021-23839)

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • OpenSSL 1.1.1j
  • OpenSSL 1.0.2y(プレミアムサポート契約ユーザのみ)

OpenSSL 1.0.2yが提供されるのはプレミアムサポート契約を締結しているユーザーのみとされている。OpenSSL 1.1.0系およびOpenSSL 1.0.2系は既にサポートが終了しており、アップデートは提供されない。開発者はプレミアムサポート契約を締結しているユーザーを除き、OpenSSL 1.1.1jへのアップグレードを推奨している。