オープンソースの暗号ライブラリOpenSSL。9月22日公開されたバージョンに脆弱性が見つかった。
9月22日のパッチにバグが混入した原因は、プログラミング上の単純なミスだった。「OpenSSL 1.1.0a」に作り込まれた問題は、深刻度が最高レベルの「Critical」に分類されている。その詳細として「約16kバイトを超えるメッセージを受け取った場合、受け取ったメッセージを格納する大元のバッファが再割り当てされ、別な場所に移動される。しかし残念なことに、古い格納位置を参照したままの、いわゆるダングリングポインタが残っている結果、解放領域に対する書き込みが発生する。これにより、たいていの場合はクラッシュが引き起こされるものの、任意のコードの実行につながる可能性もある」
引用:http://japan.zdnet.com/article/35089627/
バージョンの確認方法
rpm -q openssl
