FAMLog

LibreSSL 3.7.2が2023年4月上旬に公開されています。

LibreSSLは、OpenSSLからフォークされたものであり、OpenBSDの標準TLSライブラリとして採用されています。Appleシリコン搭載Macでのビルドに対応したLibreSSL 3.7はこれまで開発版として公開されていましたが、今回公開されたバージョン3.7.2で安定版として配布されるようになっています。

なお、LibreSSLは約半年ごとに新しいバージョンの安定版がリリースされ、1年間更新が行われるスケジュールになっています。

通信暗号化ライブラリとして広く利用されているOpenSSLの新バージョンであるOpenSSL 3.1.0が公開されています。

各種パフォーマンスが改善されているOpenSSL 3.1.0では、FIPSプロバイダーがFIPS 140-3に準拠するようになっています。OpenSSLはバージョン3.0.0でライセンスが変更されており、OpenSSL 3.0.0以降ではApache License, Version 2.0に変更されています。

なお、バージョン3.1系列のサポートは2025年3月14日に、バージョン3.0系列のサポートは2026年9月7日に終了する予定となっています。

LibreSSL 3.6.2およびLibreSSL 3.5.4が2023年2月上旬に公開されています。

LibreSSLは、OpenSSLからフォークされたものであり、OpenBSDの標準TLSライブラリとして採用されています。LibreSSL 3.6.2およびLibreSSL 3.5.4ではそれぞれ1点のセキュリティ脆弱性が修正されています。

なお、LibreSSLは約半年ごとに新しいバージョンの安定版がリリースされるスケジュールになっており、2022年10月に公開されたバージョン3.6.1でバージョン3.6系統が安定版として配布されるようになっていました。

OpenSSL 1.1.1tとOpenSSL 3.0.8が公開されています。

OpenSSLは通信暗号化ライブラリとして広く利用されているオープンソースソフトウェアです。OpenSSL 1.1.1tおよびOpenSSL 3.0.8では、複数のセキュリティ脆弱性が修正されています。

なお、Claris FileMakerでもOpenSSLが使用されていますが、Claris FileMaker Pro 19.6.1、Claris FileMaker Go 19.6.1およびClaris FileMaker Server 19.6.1ではOpenSSL 3.0.7に更新されていました。

［関連］JVNVU#91213144: OpenSSLに複数の脆弱性（Japan Vulnerability Notes）

OpenSSL 1.1.1sとOpenSSL 3.0.7が公開されています。

OpenSSLは通信暗号化ライブラリとして広く利用されているオープンソースソフトウェアです。OpenSSL 3.0.7では、X.509証明書の検証を行う際にバッファオーバーフローが発生する可能性がある問題（CVE-2022-3602およびCVE-2022-3786）が修正されています。

なお、OpenSSL 1.1.1系列については当該脆弱性の影響を受けないとのことです。

［関連］JVNVU#92673251: OpenSSLに複数の脆弱性（Japan Vulnerability Notes）

OpenSSL 1.1.1rとOpenSSL 3.0.6が公開されています。

OpenSSLは通信暗号化ライブラリとして広く利用されているオープンソースソフトウェアです。OpenSSL 3.0.6では、カスタム暗号作成をサポートするEVP_CIPHER_meth_new()関数および関連する関数にてカスタム暗号を誤って処理することに起因しNULL暗号化が発生する問題（CVE-2022-3358）が修正されています。

なお、OpenSSL 1.1.1系列については当該脆弱性の影響を受けないとのことです。

［関連］JVNVU#92530096: OpenSSLのNID_undefを使用したカスタム暗号におけるNULL暗号化の脆弱性（Japan Vulnerability Notes）

（2022/10/13追記：重大な不具合が検出されたためOpenSSL 1.1.1rとOpenSSL 3.0.6の公開が取り下げられており、不具合に対応する新バージョンの公開を現在準備中であるとのことです。）

OpenSSL 1.1.1qとOpenSSL 3.0.5が公開されています。

OpenSSLは通信暗号化ライブラリとして広く利用されているオープンソースソフトウェアです。OpenSSL 1.1.1qおよびOpenSSL 3.0.5では、32ビットのx86プラットフォーム向けAES OCBモードにおいて、AES-NIアセンブリ最適化実装を使用するとデータが暗号化されない場合がある脆弱性（CVE-2022-2097）が修正されています。

なお、OpenSSL 3.0.5では、AVX512IFMA命令をサポートするX86_64 CPUのRSA実装不備により、2048ビットの秘密鍵を使用すると、計算中にメモリー破壊が発生する脆弱性（CVE-2022-2274）も修正されています。

［関連］JVNVU#96381485: OpenSSLに複数の脆弱性（Japan Vulnerability Notes）

OpenSSL 1.1.1pとOpenSSL 3.0.4が公開されています。

OpenSSLは通信暗号化ライブラリとして広く利用されているオープンソースソフトウェアです。OpenSSL 1.1.1pおよびOpenSSL 3.0.4では、OpenSSLのc_rehashスクリプトにおけるコマンドインジェクションの脆弱性（CVE-2022-2068）が修正されています。

なお、OpenSSL 1.1.1系列の最新バージョンはOpenSSL 1.1.1pですが、Claris FileMaker Pro 19.5.1、Claris FileMaker Go 19.5.1およびClaris FileMaker Server 19.5.1ではOpenSSL 1.1.1nが使用されています。

［関連］JVNVU#92867820: OpenSSLのc_rehashスクリプトにおけるコマンドインジェクションの脆弱性（Japan Vulnerability Notes）

OpenSSL 1.1.1oとOpenSSL 3.0.3が公開されています。

OpenSSLは通信暗号化ライブラリとして広く利用されているオープンソースソフトウェアです。OpenSSL 1.1.1oでは1点のセキュリティ脆弱性が修正されていて、OpenSSL 3.0.3では4点のセキュリティ脆弱性が修正されています。

なお、OpenSSL 1.1.1系列の最新バージョンはOpenSSL 1.1.1oですが、Claris FileMaker Pro 19.4およびClaris FileMaker Server 19.4ではOpenSSL 1.1.1lが使用されています。

［関連］JVNVU#93032579: OpenSSLに複数の脆弱性（Japan Vulnerability Notes）

LibreSSL 3.5.2が2022年4月下旬に公開されています。

LibreSSLは、OpenSSLからフォークされたものであり、OpenBSDの標準TLSライブラリとして採用されています。RFC 3779 APIとCertificate TransparencyがOpenSSLから移植されているLibreSSL 3.5はこれまで開発版として公開されていましたが、今回公開されたバージョン3.5.2で安定版として配布されるようになっています。

なお、LibreSSLは約半年ごとに新しいバージョンの安定版がリリースされ、1年間更新が行われるスケジュールになっています。