JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は12月9日(米国時間)、「Japan Vulnerability Notes(JVN)」に掲載した記事「JVNVU#90419651: OpenSSL におけるバッファオーバーフローの脆弱性」において、 OpenSSLの脆弱性について伝えた。
脆弱性の影響を受けるプロダクトおよびバージョンは次のとおり。これらには、512 ビット用モジュールのべき乗計算で使用される Montgomery squaring プロシージャにおいて、オーバーフローの問題がある。開発者によると、楕円曲線暗号アルゴリズムを用いる場合には本脆弱性の影響は受けないという。
- OpenSSL 1.1.1
- OpenSSL 1.0.2
OpenSSL 1.1.0はすでにサポート対象外とされているため、今回の問題の影響を受けるかどうかは不明とされている。OpenSSL 1.0.2は2019年12月31日にサポートの終了が計画されているため、OpenSSL 1.1.1へのアップグレードが推奨されている。
脆弱性が明らかになったものの、脆弱性の深刻度が低(Low)に分類されているため、本稿執筆時点で、OpenSSL Projectは脆弱性の修正を目的としたバージョンのリリースは行わないとしている。将来的にアップデートバージョンが提供された場合は、迅速にアップデートを適用することが望まれる。