OpenSSL開発プロジェクトは10月25日(現地時間)、重大なセキュリティ脆弱性に対処するための最新版を11月1日(1300-1700 UTC)にリリースすることを発表しました(Hacker News)。
現在、脆弱性の詳細は明らかにされていませんが、OpenSSLは「Critical(重大)」な脆弱性を、「一般的な構成に影響し、また悪用される可能性が高い」ものだと位置づけています。このため、最新版はできるだけ早急に導入する必要があると考えられます。
CRITICAL Severity. This affects common configurations and which are also likely to be exploitable. Examples include significant disclosure of the contents of server memory (potentially revealing user details), vulnerabilities which can be easily exploited remotely to compromise server private keys or where remote code execution is considered likely in common situations. These issues will be kept private and will trigger a new release of all supported versions. We will attempt to address these as soon as possible.
CRITICAL重大度。一般的な構成に影響し、また悪用される可能性が高いもの。例えば、サーバーのメモリの内容が著しく漏洩する)ユーザーの詳細が明らかになる可能性がある)、リモートから容易に悪用されてサーバーの秘密鍵を侵害できる、または一般的な状況でリモートコード実行の可能性があると考えられる脆弱性などです。これらの問題は非公開とされ、サポートされるすべてのバージョンの新しいリリースを開始することになります。私たちは、できるだけ早くこれらの問題に対処するよう努めます
脆弱性はOpenSSL 3.0以降のバージョンに影響するもので、1.1.1は影響しないものの、リリースされる予定の1.1.1sにアップデートしたほうが良いとされています。
アップデートにどれほのど時間・労力が必要も不明ですが、サーバー管理者の方は作業時間を確保しておいた方がよさそうです。Fedoraプロジェクトはこの問題をうけ、Fedora 37のリリースを遅らせる事を発表しています。
[via マイナビニュース]