OpenSSLに複数の脆弱性が発見されていると、JVNが報じています。

JVNVU#95113540OpenSSL に複数の脆弱性

中身を読むと、致命的な脆弱性ではないものの、幾つかの懸念事項が存在するため、管理者は最新版にアップデートすることが推奨されます。

かねてから、OpenSSLには脆弱性が断続的に発見されており、セキュリティ対策の煩雑さを認識させてくれます。

初回は、ハートブリードというバグで、全世界にショックを引き起こしました。

http://heartbleed.com/

その後に再度、OpenSSLの脆弱性が報告。たった２ヶ月後です。２０１４年６月のことです。

「OpenSSL」における Change Cipher Spec メッセージ処理の脆弱性対策について(JVN#61247051)

そして、１年を待たず、その後に来たのはFREAK。これが２０１５年３月のことです。

SSL/TLS通信時の脆弱性「FREAK」、その影響度は？

１９９０年台から存在していた、というバグであり、その被害は想定することも難しいでしょう。

そして、２０１５年７月の脆弱性報告。

OpenSSLにまた脆弱性–最新版で修正

そして今回の脆弱性です。

実際の影響がすでに出ています。新幹線の「エクスプレス予約」では、この脆弱性によってサイトの運営方針に変更が出ています。

インターネット通信で使用する暗号化方式「ＳＳＬ３．０」については、脆弱性が指摘されていることから、
エクスプレス予約のサイトにおいてはＴＬＳ１．０に対応した端末をご利用いただくよう案内しておりましたが、
平成２８年１月２０日（水）より、「ＳＳＬ３．０」の利用を停止させていただきます。
そのため、ＴＬＳ１．０に対応していない一部の携帯端末、ご利用のブラウザで「ＳＳＬ３．０」のみを
有効としている場合は、エクスプレス予約へアクセスできなくなりますので
ＴＬＳ１．０対応端末をご利用いただきますようお願いたします。

ご注意下さい。