OpenSSLについては、2014年4月のHeartbleed脆弱性の後、同様の事象を徹底的に防ぐ取り組みの優先順位が上がり、暗号ライブラリを強化する取り組みが行われてきました。
2015年3月16日、OpenSSLプロジェクトチームがいくつかの脆弱性に対応する新バージョンのOpenSSLをリリース予定と予告しました。
[openssl-announce] Forthcoming OpenSSL releases
2015年3月19日、予告通りOpenSSLの新バージョンが公開されました。セキュリティアドバイザリーによると、脆弱性の修正は14項目にわたり、危険度「高」が2つ、危険度「中」が9つ、危険度「低」が3つとのことです。以下では、危険度「高」の2件について解説します。
まず初めに、危険度「高」とされた2つの脆弱性は、証明書自体に直接影響があるというわけではございません。SSLサーバ証明書の再発行、失効、再設定などは不要で、現状のままご利用いただけます。
当脆弱性は、OpenSSLのバージョン1.0.1, 1.0.0, 0.9.8に影響があります。以下のようにアップデートをしてください。加えて、ソフトウェアベンダーとともに最新のセキュリティアドバイザリーと利用可能なアップデートをご確認ください。
関連する記事