OpenSSLに重大度「CRITICAL(致命的)」の脆弱(ぜいじゃく)性が発見されました。脆弱性への対応は迅速に行われており、日本時間の2022年11月1日22時~2022年11月2日4時の間に修正版の「OpenSSL 3.0.7」が公開予定です。
目次
OpenSSLは暗号通信プロトコル「SSL/TLS」をサポートするオープンソースライブラリで、事実上の業界標準ライブラリとして世界全体で広く利用されています。このため、2014年にデータの奪取が可能な脆弱性「Heartbleed」が発見された際には、世界中のインターネット管理者を悩ませることとなりました。
今回発見された脆弱性は、Heartbleedと同様に「致命的」な重大度に位置付けられており、記事作成時点では詳細が公表されていません。OpenSSLのセキュリティポリシーによると、「致命的」というラベルは「リモートで簡単に悪用でき、サーバーの秘密鍵を侵害できる」「一般的な状況でコードをリモートで実行可能になる」といった「一般的なシステム構成に影響を与え、悪用される可能性のある脆弱性」に付けられるとのこと。今回の脆弱性が発表される以前は「Heartbleed」が唯一の「致命的」な脆弱性であったことを考えると、今回の脆弱性がいかに重大なものかがうかがえます。
開発チームはすでに脆弱性の修正に取り組んでおり、日本時間の2022年11月1日22時~2022年11月2日4時の間に修正版の「OpenSSL 3.0.7」を公開予定とのこと。ネットワークの管理者には速やかにOpenSSLを最新版に更新することが求められます。
なお、OpenSSLはバージョン3系と並行してバージョン1系もメンテナンスされていますが、バージョン1系は今回発見された脆弱性の影響を受けないとのことです。
引用元:gigazine.net(引用元へはこちらから)
OpenSSLで史上2度目の「致命的」レベルの脆弱性が発見される、2022年11月1日夜間に修正版がリリースされるため即更新を - GIGAZINE gigazine.net/news/20221101-…
— ヨーデル食べ放題。 (@yodelx) Nov 2, 2022
バージョン1系は影響無し
ぎゃふん!
— レッド (@xicholo) Nov 2, 2022
gigazine.net/news/20221101-…
ヤベえの来たか? gigazine.net/news/20221101-…
— naka (@_daisuke0802) Nov 2, 2022
あー、これはヤバいヤツ...
— ケイ@情シス課長 (@64R4u) Nov 2, 2022
OpenSSLで史上2度目の「致命的」レベルの脆弱性が発見される、2022年11月1日夜間に修正版がリリースされるため即更新を - GIGAZINE gigazine.net/news/20221101-…
嫌な予感しかしない・・・
— アニ痛( 二重の虹版)🌈🌈 (@GensenAnimeWP) Nov 2, 2022
OpenSSLで史上2度目の「致命的」レベルの脆弱性が発見される、2022年11月1日夜間に修正版がリリースされるため即更新を
gigazine.net/news/20221101-…
スポンサーリンク
スポンサーリンク
openssl version
— 嶋田大貴 (@shimariso) Nov 2, 2022
って打ってみよう。大抵バージョン1なので対象外。
Ubuntu 22.04だとバージョン3なので修正版が出たらすぐに更新必要。
→ OpenSSLで史上2度目の「致命的」レベルの脆弱性が発見される、2022年11月1日夜間に修正版がリリースされるため即更新を - GIGAZINE gigazine.net/news/20221101-…
デフォルトで入っているOpenSSLはこんな感じ。
— Sheile (@Sheile) Nov 2, 2022
サークルや個人の開発サーバーはUbuntu 20.04なので大丈夫げかな。
CentOS7: 1系
Ubuntu 20.04 LTS: 1系
Amazon Linux2: 1系
CentOS Stream9: 3系【注意】
Ubuntu 22.04 LTS: 3系【注意】
gigazine.net/news/20221101-…
「「致命的」というラベルは「リモートで簡単に悪用でき、サーバーの秘密鍵を侵害できる」「一般的な状況でコードをリモートで実行可能になる」といった「一般的なシステム構成に影響を与え、悪用される可能性のある脆弱性」に付けられる」 gigazine.net/news/20221101-…
— Takuma SHIRAISHI (@ts7i) Nov 2, 2022
openssl 3.0とか誰が使ってるんだよwって思ってたんだけどUbuntu 22.04 LTSはopenssl 3.0.2でした。
— Hiromasa Ihara (@miettal) Nov 2, 2022
OpenSSLで史上2度目の「致命的」レベルの脆弱性が発見される、2022年11月1日夜間に修正版がリリースされるため即更新を - GIGAZINE gigazine.net/news/20221101-…
OpenSSLで史上2度目の「致命的」レベルの脆弱性が発見される、2022年11月1日夜間に修正版がリリースされるため即更新を - GIGAZINE gigazine.net/news/20221101-…
— しん(寒冷地仕様) (@sin_w) Nov 2, 2022
OpenSSLのバグフィックス版が出たとしても各Linuxディストリビューションの対応パッケージってすぐ出んのかしら
なんか最近連休前にでかい脆弱性が見つかるパターン多くないですか?
— ぎゆ (@giyulogy) Nov 1, 2022
去年のクリスマスはLog4Shell
今年のGW前にSpring4Shell
今回の4連休前にOpenSSL😭
OpenSSLで史上2度目の「致命的」レベルの脆弱性が発見される、2022年11月1日夜間に修正版がリリースされるため即更新をgigazine.net/news/20221101-…
— (@) Jan 1, 1970
LibreSSLも10/31にLibreSSL 3.6.1がリリースされたけど、これはOpenSSLの問題とは無関係なのかな?
— リッチー大佐の中の人 (@col_richie) Nov 1, 2022
OpenSSLで史上2度目の「致命的」レベルの脆弱性が発見される、2022年11月1日夜間に修正版がリリースされるため即更新を - GIGAZINE gigazine.net/news/20221101-…
スポンサーリンク
スポンサーリンク
OpenSSLで脆弱性が見つかったとかなんとか…
— netobas (@netobas3) Nov 1, 2022
どうなるんだろ…
gigazine.net/news/20221101-…
— (@) Jan 1, 1970
ねむい・・・けど待っててもaptで入らないのかな?
— 上田隆一 (@ryuichiueda) Nov 1, 2022
「日本時間の2022年11月1日22時~22022年11月2日4時の間に修正版の「OpenSSL 3.0.7」を公開予定とのこと。」
gigazine.net/news/20221101-…
スポンサーリンク
スポンサーリンク
この記事に問題があると考えた場合、こちらから作者様にご連絡をお願いします。
