OpenSSLは1.0→1.1→3.0と更新されてきましたが、
1.0で露呈した脆弱性Heartbleed(2014年)の影響(とLibreSSLの離反)を受けて
1.1で一新されたため、1.0と1.1の間には互換性が全くありません。
このため、1.0対応のプログラムを1.1に対応させるのは
(1.1対応のプログラムを3.0に対応させるより遥かに)大変です。
1.0の通常サポートは1.0.2uで終了していますが、
延長サポート(有償)として更新されています。
1.0.2u (2019-12-20)
CVE-2020-1968 低
1.0.2w (2020-09-09)
CVE-2020-1971 高
1.0.2x (2020-12-08)
CVE-2021-23839 低
CVE-2021-23840 低
CVE-2021-23841 中
1.0.2y (2021-02-16)
CVE-2021-3712 中
1.0.2za (2021-08-24)
CVE-2021-4160 中
1.0.2zc (2021-12-14)
CVE-2022-0778 高
1.0.2zd (2022-03-15)
CVE-2022-1292 中
1.0.2ze (2022-05-03)
CVE-2022-2068 中
1.0.2zf (2022-06-21)
CVE-2022-4304 中
CVE-2023-0215 中
CVE-2023-0286 高
1.0.2zg (2023-02-08)
CVE-2023-0464 低
CVE-2023-0465 低
CVE-2023-0466 低
CVE-2023-2650 中
1.0.2zh (2023-05-30)
CVE-2023-3446 低
CVE-2023-3817 低
1.0.2zi (2023-08-01)
CVE-2023-5678 低
CVE-2024-0727 低
1.0.2zj (2024-01-30)
CVE-2024-5535 低
1.0.2zk (2024-09-03)
有償サポートのうち延長サポートを受けられるのは
年間6万5千ドルのPremium以上で、個人が趣味で支払うにはややお高い金額です。
1.1対応に更新するほど積極的ではないが6万5千ドルを支払える企業の
何かに同梱されているのではないかと探してみました
(※再頒布してはいけません)。
Adobe Acrobat Reader
1.0.2w
1.0.2uから1年。更新されていません。
VMware Workstation Player
16.1.2
1.0.2y
1.0.2uから1年半。16.2.0からは1.1になってしまいました。
…と言うのはWin32の話ですが、Win64はどこかにあるのかもしれません
。2024年7月 値上げしていました。
| 旧 |
|---|
| Premium | 50,000 |
| Vendor | 25,000 |
| Basic | 15,000 |
↓
| 新 |
|---|
| Enterprise | 175,000 |
| Premium | 65,000 |
| Basic | 25,000 |
