Forthcoming OpenSSL releases (OpenSSL, 2015.03.16)
OpenSSL versions 1.0.2a, 1.0.1m, 1.0.0r and 0.9.8zfが2015.03.19にリリースされるそうです。
複数のセキュリティ修正が含まれているそうで、セキュリティ影響は「高」
影響「高」はOpenSSL 1.0.2だけか?
The OpenSSL GroupのMark J Cox氏によると、Highの脆弱性はOpenSSL 1.0.2とのこと。
@solardiz @joshbressers @hanno right, the new High is 1.0.2 only, other versions new issues just Moderate and Low
— Mark J Cox (@iamamoose) 2015, 3月 16
3つの脆弱性の修正がマージ(2015.3.19 追記)
3つの脆弱がマージされ、いずれもlowレベルとのこと。
@Sh1bumi those are all "low severity" classification, previously committed issues, which will be included in roll up on Thursday too.
— Mark J Cox (@iamamoose) 2015, 3月 17
CVE-2015-0209 https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=ba5d0113e8bcb26857ae58a11b219aeb7bc2408a
CVE-2015-0285 https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=2b31fcc0b5e7329e13806822a5709dbd51c5c8a4
CVE-2015-0288 https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=28a00bcd8e318da18031b2ac8778c64147cd54f9
パッチ(2015.3.20 追記)
またOpenSSL 1.0.2だけが問題のようだ。 OpenSSL1.0.2は大変だなぁ。
https://www.openssl.org/news/secadv_20150319.txt?fb_ref=Default