2024年度クラウドネイティブセキュリティおよび利用状況レポート
2022年11月1日にOpenSSL 3.0.xに影響する新たなCRITICALな脆弱性が発表されます。
これは毎日起こることではなく、前回の重大な脆弱性はCVE-2016-6309で、特定のバージョンにのみ影響しました。
最も有名な脆弱性は2014年のHeartbleedです。
今回の脆弱性がどの程度重大かはまもなく明らかになりますが、1.1.1バージョンを使用している場合は影響を受けません。
多くのOSのコンテナイメージはデフォルトでOpenSSLをインストールしておらず、インストールされている場合でも3.0.xを使用しているわけではないことが多いです。
しかし、アプリケーションイメージではOpenSSLがインストールされている可能性が高いです。
CVEの詳細が公開され次第、適切な脆弱性管理プロセスを実施することが推奨されます。
