iidaの日記: OpenSSL 1.0.1f, 1.0.0l
日記 by
iida
OpenSSL 1.0.1f, 1.0.0lがいっせいにリリースされた。いずれも、セキュリティー修正を含んでいる。脆弱性のページによると、 CVE-2013-4353を内包していた模様。
年末に発覚した脆弱性群CVE-2013-6449やCVE-2013-6450とは別件のようだ。SSL v3以降のクライアント/サーバー両方に共通のソース (ssl/s3_both.c) にヌル・ポインタ・チェックのコード2行
if (s->s3->tmp.new_cipher == NULL)
return;
が追加になっている。クライアントとサーバーの両側での対応が重要になろう。
- - - - -
(その後、セキュリティホールmemoにも関連情報が掲載された。)
OpenSSL 1.0.1f, 1.0.0l More ログイン