OpenSSL、計8件の脆弱性を修正

OpenSSLは8日、OpenSSL 0.98zd、1.0.0p、1.0.1kをリリースした。これらのバージョンでは計8件(6件は各バージョン共通、2件は1.0.0pと1.0.1kのみ)の脆弱性が修正されている(OpenSSL Security Advisory、JVNVU#98974537、ITworldの記事、本家/.)。

脆弱性の深刻度は「中」が2件、「低」が6件。深刻度「中」とされている2件(CVE-2014-3571、CVE-2015-0206)はいずれもDTLSに関するもので、悪用するとDoS攻撃が可能になるという。深刻度「低」とされている脆弱性はDoS攻撃を可能にするもの(CVE-2014-3569)、クライアントへのダウングレード攻撃を可能にするもの(CVE-2014-3572、CVE-2015-0204)、クライアントのDH証明書を検証せずに認証してしまうというもの(CVE-2015-0205)、保護機構の迂回を可能にするもの(CVE-2014-8275、CVE-2014-3570)となっている。　スラッシュドットのコメントを読む | ITセクション | セキュリティ | バグ

　関連ストーリー：
2014年の教訓：サードパーティのライブラリには脆弱性がある 2015年01月05日
揺るがされるオープンソースセキュリティーの理想 2014年10月19日
LibreSSL Portable 2.0.2リリース、PRNGの脆弱性を修正 2014年07月19日
OpenSSLからフォークした「LibreSSL」ポータブル版リリース 2014年07月14日
GoogleがOpenSSLをフォークした「BoringSSL」を公開 2014年06月22日
OpenSSLに新たな脆弱性が発見される 2014年06月06日
プロジェクトのリソース不足がオープンソースソフトウェアの脆弱性を生む？ 2014年05月05日
OpenBSDがOpenSSLをフォーク、新プロジェクトは「LibreSSL」 2014年04月25日
「オープンソースの方が安全」という神話はOpenSSLの致命的な脆弱性問題で変わるのか 2014年04月17日
Heartbleed開発者曰く、OpenSSLのバグは意図的なものではない 2014年04月13日
OpenSSLでメモリ内容を外部から読み取られる脆弱性が発見される 2014年04月08日