OpenSSLプロジェクトチームは3月1日、予告通りにOpenSSLの更新版となるバージョン1.0.2gと1.0.1sを公開した。SSL/TLSに関して「DROWN」と呼ばれる新たな脆弱性が発覚したことを受け、SSLv2をデフォルトで無効にする措置を講じたほか、複数の脆弱性に対処している。

OpenSSLのセキュリティ情報によると、DROWNの脆弱性（危険度「高」）ではSSLv2をサポートしているサーバに対してクロスプロトコル攻撃が仕掛けられ、TLSセッションの暗号が解除される恐れがある。

OpenSSL 1.0.2gと1.0.1sでは他にも複数の脆弱性が修正された。このうち危険度「高」および「中」に指定された2件の脆弱性もSSLv2に関係している。

輸出グレードのプロトコルであるSSLv2については、DROWNの脆弱性だけでなく、多数の欠陥の存在が明らかになっているとして、OpenSSLチームではSSLv2を使用しないよう強く勧告している。

Copyright © ITmedia, Inc. All Rights Reserved.