FAMLog

OpenSSL 1.0.2系統に暗号通信を解読可能な脆弱性が存在することが発表されています。

深刻度は低と位置付けられていますが、TLS 1.2あるいはそれ以前のTLSセッションにおいてDiffie-Hellman鍵交換を行っており、さらに複数のTLSセッションにおいて同一のDHパラメーターを使用している場合、中間者攻撃を行う第三者によって暗号化された通信内容の一部を解読される可能性があるとのことです。

OpenSSL 1.0.2系統はサポートが終了しているため、今後アップデートを受けることができません。そのため、OpenSSL 1.0.2のプレミアムサポートを契約したユーザーを除き、OpenSSL 1.1.1系統へアップグレードすることが推奨されています。

［関連］JVNVU#91973538: OpenSSL における暗号通信を解読可能な脆弱性 (Raccoon Attack)（Japan Vulnerability Notes）、JVNTA#95716145: TLS 1.2 およびそれ以前の Diffie-Hellman 鍵交換に対する攻撃手法について (Raccoon Attack)（Japan Vulnerability Notes）