FAMLog

OpenSSL 3.0.12およびOpenSSL 3.1.4が公開されています。

OpenSSLは通信暗号化ライブラリとして広く利用されているオープンソースソフトウェアです。OpenSSL 3.0.12およびOpenSSL 3.1.4では、鍵とIV（Initialization Vector）の長さに関する処理に問題があることで一部の共通鍵暗号の初期化時に切り捨てやオーバーフローが発生する可能性がある脆弱性（CVE-2023-5363）が修正されています。 OpenSSL Projectによると、OpenSSL SSL/TLS実装およびOpenSSL 3.0と3.1のFIPSプロバイダは本脆弱性の影響を受けないとのことです。

なお、現時点でのOpenSSLの最新安定バージョンはバージョン3.1.4ですが、バージョン3.0系統は長期サポート版（LTS）として位置付けられており、OpenSSL 3.0系統はOpenSSL 3.1系統のサポートが終了した後も約1年半引き続きサポートされる予定となっています。

［関連］JVNVU#99631663: OpenSSLにおける暗号鍵と初期化ベクトルの長さに関する処理の問題（OpenSSL Security Advisory [24th October 2023]）（Japan Vulnerability Notes）