OpenSSL 暗号化ライブラリ向けに、新たなパッチがリリースされた。複数の脆弱性に対応しているが、そのうちの1つは4年前から存在していたものだった。

OpenSSL、4年前から存在する脆弱性にパッチ
OpenSSL は、「Heartbleed」脆弱性により注目を集めている技術。Heartbleed は数百万もの利用者を危険に曝したが、今回パッチを受けた脆弱性は、それほどドラマチックなものではない。

今回の脆弱性は、「CVE-2010-5298」として認識されているもの。National Vulnerability Database では2014年4月19日に発見されたことになっているが、実は4年前にも報告されていた古い脆弱性だ。

この脆弱性を報告した Ted Unangst 氏は、同氏がこの脆弱性をどのように再発見したか、Blog への投稿で説明している。同氏は Heartbleed 脆弱性を緩和する方法を探しているときに、この脆弱性を発見したそうだ。その後 Unangst 氏は、この脆弱性を発見したのが自分が最初ではないことを知ったという。

「これを見つけたのは、私が最初ではないことがわかった。ここに、4年前のバグ報告がある。Piotr、ありがとう!」

2番目の脆弱性は、「CVE-2014-0198」として知られるもの。メモリ取り扱いに関するエラーであり、DoS 攻撃を招く可能性のあるものだ。この脆弱性は、Red HatUbuntu によって、脆弱性重大度レベル「中」とランク付けされている。

今回新たにパッチされた脆弱性は、Heartbleed とは異なり、メモリリークや情報の漏えいを引き起こす類のものではない。とはいうものの、DoS 攻撃がリスクであることは間違いなく、パッチで塞がれるべきものだ。

Heartbleed 脆弱性が発覚してから、OpenSSL に対する注目は高まっている。その結果、あらゆる種類のバグが、古い物も、新しいものも、パッチを受けることになるだろう。今後数週間から数か月間はこの状況が続くと、私は見ている。

Sean Michael Kerner
Sean Michael Kerner は、eWeek および InternetNews.com の主任編集者。