OpenSSLについて以下の脆弱性と対応パッチが公開された
- CVE-2021-3449
- CVE-2021-3450
Ubuntuでは3/30現在、CVE-2021-3449対応のアップデートが公開されている。
CVE-2021-3449はnginxなどでSSLを使っていると影響がありそうなので、Webサーバを動かしているなら今すぐアップデートした方が良さそう。
$ sudo apt update $ sudo apt upgrade
CVE-2021-3450のパッチは公開されていない。現在調査中のようだ。証明書の検証に関する問題なので証明書を提示する側のWebサーバであれば慌てて対応しなくても大丈夫かもしれない。また、この脆弱性はOpenSSLの1.1.1h
以降に存在する脆弱性だが、Ubuntu 18.04や20.04のOpenSSLは1.1.1f
をベースに独自にパッチを当ててるような感じなので、もしかすると脆弱性自体がない可能性もある。いずれにしてもパッチがないので続報待ち。