2016年9月22日にOpenSSLがアップデートされました。このブログでも紹介しました。そのアップデートに不具合があったため,2016年9月26日に更新版(1.1.0b / 1.0.2j)が出ました。リリースして4日後に更新版が出るということは,それなりに急な対応が必要な不具合だったのだろうと想像できます。
OpenSSLのサイトを確認すると,次の2点が修正されているそうです。
(1) 1.1.0aに関係する問題
Use-after-freeの脆弱性で,解放したメモリ領域に書き込みをしようとしてクラッシュさせてしまう問題です。最悪のケースでは,任意のコードを実行できてしまいます。
(2) 1.0.2iに関係する問題
CRLをチェックすると,NULLポインタ例外が発生してOpenSSLがクラッシュする問題です。
1.1.0系,1.0.2系のどちらを利用していても,9月26日更新版は適用必須ですね。既に9月22日更新版を適用してしまっている人は,もう一度更新させる必要があるので大変ですけど,更新させましょう。