iidaの日記: OpenSSL 1.0.1g
日記 by
iida
OpenSSLのセキュリティー・アドバイザリーが刊行され、OpenSSL 1.0.1gがリリースされた。
このアドバイザリーによると、
- TLSのハートビート拡張の欠陥により、最高で64k (ママ) のメモリーがTLS/SSLの通信の相手方に暴露されてしまう
- 影響を受ける版は、
- 1.0.1fを含む1.0.1系
- 1.0.2-beta1
- ただし、-DOPENSSL_NO_HEARTBEATSというコンパイル・オプションを指定してコンパイルしていたときにかぎり、影響を受けない
- 1.0.2-beta2で修正を予定している
そうだ。
- - - - -
(PS [参考リンク] http://heartbleed.com/
PGP署名の鍵が1.0.1fから変わっている。SHA1のハッシュ値は、b28b3bcb1dc3ee7b55024c9f795be60eb3183e3cなので、ご参考までに。
アドバイザリーにはないが、CHANGESファイルによると、ECDSA関連の脆弱性にも対応しているようだ。http://eprint.iacr.org/2014/140に詳細があるもよう。
ソース・コードの差分を眺めたところ、crl下位コマンドに-hash_oldオプションが増えたみたいだ)
OpenSSL 1.0.1g More ログイン