AWS導入支援・クラウド運用代行 スカイアーチネットワークス

OpenSSLに複数の脆弱性

平素より、弊社スカイアーチネットワークスのサービスをご利用頂きまして、誠に有難う御座います。

OpenSSLにて脆弱性情報が公開されました。
脆弱性情報と対応に関して下記の通り報告させて頂きます。

JVNVU#92673251 OpenSSLに複数の脆弱性
https://jvn.jp/vu/JVNVU92673251/

概要

OpenSSLには、複数の脆弱性が存在します。

影響を受けるシステム

  • OpenSSL 3.0.0から3.0.6

OpenSSL 1.1.1および1.0.2は、本脆弱性の影響を受けません。
また、影響を受けるシステムについては、NCSC-NLが公開している情報も参照してください。

詳細情報

OpenSSL Projectより、OpenSSL Security Advisory [01 November 2022]が公開されました。
OpenSSLには、次の脆弱性が存在します。

深刻度 – 高(Severity: High)

  • 電子メールアドレスの処理における4バイトのバッファオーバーフロー – CVE-2022-3602
    X.509証明書の検証を行う際、証明書の名前のチェック時にバッファオーバーフローが発生する可能性があります。ただし、この問題は証明書チェーンの署名検証の後で発生します。そのため、悪意ある細工が行われた証明書に対してCAが署名し、本来ならば途中で失敗するはずの証明書チェーン検証が成功することにより、その後の処理が継続してしまう場合においてのみ、この問題が発生することに注意してください。攻撃者は、証明書中の電子メールアドレスに細工を施し、スタック上のメモリを4バイトオーバーフローさせることができます。
  • 電子メールアドレスの処理における可変長バイトのバッファオーバーフロー – CVE-2022-3786
    X.509証明書の検証を行う際、証明書の名前のチェック時にバッファオーバーフローが発生する可能性があります。CVE-2022-3602と同様に、この問題は証明書チェーンの署名検証の後で発生します。そのため、悪意ある細工が行われた証明書に対してCAが署名し、本来ならば途中で失敗するはずの証明書チェーン検証が成功することにより、その後の処理が継続してしまう場合においてのみ、この問題が発生することに注意してください。攻撃者は、証明書中の電子メールアドレスに細工を施し、スタック上の「.」文字(10進数では”46″)が格納された箇所を含む、任意のバイト数をオーバーフローさせることができます。

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • システムがサービス運用妨害(DoS)状態にされたり、遠隔からのコード実行が行われたりする – CVE-2022-3602
  • システムがサービス運用妨害(DoS)状態にされる – CVE-2022-3786

対策方法

アップデートする

開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性への対策版として次のバージョンをリリースしています。

  • OpenSSL 3.0.7

同時期にOpenSSL 1.1.1sがリリースされていますが、これは他の問題に対するバグ修正であり、本脆弱性に対する修正ではありません。

ベンダ情報

OpenSSL Project

参考情報

  1. NCSC-NL / OpenSSL-2022 – GitHub
    2022 OpenSSL vulnerability – CVE-2022-3602

備考

最終更新日 2022.11.02

価格・仕様などサービス詳細のお問い合わせや、クラウド導入の分からないことなど、お気軽にご連絡ください

お電話でのご相談・お問い合わせ

03-6743-1100

(平日10:00~18:00)