OpenSSL 1.1.1のアップデート

OpenSSLについて以下の脆弱性と対応パッチが公開された

  • CVE-2021-3449
  • CVE-2021-3450

Ubuntuでは3/30現在、CVE-2021-3449対応のアップデートが公開されている。

CVE-2021-3449はnginxなどでSSLを使っていると影響がありそうなので、Webサーバを動かしているなら今すぐアップデートした方が良さそう。

$ sudo apt update
$ sudo apt upgrade

CVE-2021-3450のパッチは公開されていない。現在調査中のようだ。証明書の検証に関する問題なので証明書を提示する側のWebサーバであれば慌てて対応しなくても大丈夫かもしれない。また、この脆弱性はOpenSSLの1.1.1h以降に存在する脆弱性だが、Ubuntu 18.04や20.04のOpenSSLは1.1.1fをベースに独自にパッチを当ててるような感じなので、もしかすると脆弱性自体がない可能性もある。いずれにしてもパッチがないので続報待ち。