OpenSSL プロジェクトは先週、約束したアップデートをリリースしましたが、リリースにエラーがあったため、すぐに再試行する必要がありました。
このリリースで修正されたバグには、中程度の問題が3件と、重大度が低いバグが1件含まれています。これには、証明書検証中にOpenSSLクライアントがクラッシュすることによるサービス拒否攻撃の脆弱性が含まれます。
これらの修正は、OpenSSL 0.9.8zh、1.0.0t、1.0.1q、および1.0.2eブランチに適用されます。1.0.0および0.9.8ブランチは2014年12月からOpenSSLのサポート終了リストに掲載されており、アドバイザリでは、これら2つのビルドに対する修正は今回が最後となることが明記されています。
しかし、OpenSSL のメンテナーは、パッケージに間違いを発見し、バージョン番号を変更せずに tarball を再発行したため、ユーザーから批判を浴びました。
失礼しました、あなたの失言が目立ちます: OpenSSL が Twitter で修正を発表
1つのエラーは軽微なものでした。OpenSSL 1.0.2のCVE-2015-1794に対する修正が文書化されていませんでした。しかし、アップデートのビルドを阻害するファイルが不足していたため、グループはTwitterで新バージョンを発表しました。
メンテナーが単にバージョンをそのままにしてパッチを再発行したということに、誰もが感心したわけではありません。
今日のOpenSSLリリースは壊れていました。バージョンを上げるどころか、不足しているファイルを組み込むためにtarballを更新しているようです。OMG、OPENSSL、一体何なんだ。
— ブライアン・ホーストマンアレン (@bdha) 2015 年 12 月 3 日
OpenSSL の弁護として、The Register は、ビルドできないパッケージをインストールした人が、正常に更新されたと誤解することはないだろうと述べています。
OpenSSLのバグはあらゆる機器に蔓延するため、システム管理者はベンダーのセキュリティアドバイザリにも注意を払う必要があります。実際、Ciscoのような企業は既に修正プログラムを提供しています。®
