OpenSSLに証明書チェックをパイパスする脆弱性

OpenSSLプロジェクトは7月9日(ドイツ時間)、「OpenSSL Security Advisory [9 Jul 2015] - Alternative chains certificate forgery (CVE-2015-1793)」において、証明書を検証するコードの実装に問題があり、偽物の証明書のチェックがバイパスされてしまう脆弱性が存在していると伝えた。

この脆弱性が存在するバージョンは次のとおり。

OpenSSL 1.0.2b/1.0.2c
OpenSSL 1.0.1n/1.0.1o

該当するプロダクトを使用している場合はアップグレードを実施することが推奨される。この脆弱性が存在していない1.0.0系および0.9.8系を使っている場合も、OpenSSL 1.0.0系および0.9.8系のサポートが12月31日で終了することから、早期の段階で1.0.1系または1.0.2系の最新版へ移行することが推奨される。