SSL/TLSプロトコルを実装したオープンソースライブラリ「OpenSSL」の最新版v1.1.0bおよびv1.0.2jが、26日に公開された。本バージョンは、脆弱性の修正を含むセキュリティアップデートとなっている。

「OpenSSL」プロジェクトが公開したセキュリティアドバイザリによると、今回修正された脆弱性は全部で2件。いずれも22日付けでリリースされたアップデートによって引き起こされたものだ。

1つ目（CVE-2016-6309）は解放済みメモリ使用（Use-after-free）の脆弱性で、v1.1.0aに影響する。最悪の場合、任意のコードが実行可能になる恐れがある。深刻度は同プロジェクトの基準で4段階中最高の“Critical”と判定されており、v1.1.0bへ更新する必要がある。

2つ目（CVE-2016-7052）は、証明書失効リストの健全性を確認する処理における不具合で、v1.0.2iではNullポインター例外により「OpenSSL」が必ずクラッシュする。この脆弱性の深刻度は4段階で上から3番目の“Moderate”とされており、v1.0.2へのアップデートが推奨されている。