OpenSSLにDoS攻撃を受ける問題があり、修正版の0.9.7dがリリースされている。1つ目は、do_change_cipher_spec()関数のnull-pointer assignment障害によりOpenSSLがクラッシュする。影響を受けるのは0.9.6のc〜kと0.9.7のa〜c。2つ目はケルベロス暗号のハンドシェークにおける欠陥で、やはりクラッシュする。影響を受けるのは0.9.7のa〜c。
どちらも破壊されたり乗っ取りを許す深刻な問題では無いが、頃合いを見てアップデートしよう。
【参照】
●OpenSSL: The Open Source toolkit for SSL/TLS http://www.openssl.org/
┗Updated versions of OpenSSL are now available which correct two security issues: 2004年3月17日
●Common Vulnerabilities and Exposures http://cve.mitre.org/
┣CAN-2004-0079:Null-pointer assignment during SSL handshake 2004年1月19日
┗CAN-2004-0112:Out-of-bounds read affects Kerberos ciphersuites 2004年2月2日
