2019年2月26日(米国時間)、OpenSSL ProjectからOpenSSLの脆弱性 (CVE-2019-1559)に関する情報が公開されました。OpenSSL Projectは、本脆弱性の重要度を中 (Moderate)と評価しています。公開された情報によると、OpenSSL にはパディングオラクル攻撃が可能な脆弱性があり、悪用されると、遠隔の第三者が通信情報を窃取する可能性があるとされています。なお、研究者から本脆弱性に関する情報が公開されています。
本脆弱性の影響を受けるバージョンは次のとおりです。
– OpenSSL 1.0.2から1.0.2qまで
OpenSSL Project によるとOpenSSL 1.0.2rにて本脆弱性を修正済みとのことです。なお、OpenSSL 1.1.1、1.1.0を使用している場合や暗号スイートに認証暗号 (AEAD)を使用している場合には、本脆弱性の影響を受けないとのことです。
また、OpenSSL Project によると、OpenSSL 1.0.2は2019年12月31日に、OpenSSL 1.1.0は2019年9月11日にサポートを終了するため、OpenSSL 1.1.1にアップデートすることが推奨されています。
なお、暗号設定に関するガイドラインとして、CRYPTRECより「SSL/TLS暗号設定ガイドライン」が提供されており、暗号スイートの設定などに関する情報[が公開されています。