平素より、弊社スカイアーチネットワークスのサービスをご利用頂きまして、誠に有難う御座います。
OpenSSLにて脆弱性情報が公開されました。
脆弱性情報と対応に関して下記の通り報告させて頂きます。
JVNVU#92673251 OpenSSLに複数の脆弱性
https://jvn.jp/vu/JVNVU92673251/
概要
OpenSSLには、複数の脆弱性が存在します。
影響を受けるシステム
- OpenSSL 3.0.0から3.0.6
OpenSSL 1.1.1および1.0.2は、本脆弱性の影響を受けません。
また、影響を受けるシステムについては、NCSC-NLが公開している情報も参照してください。
詳細情報
OpenSSL Projectより、OpenSSL Security Advisory [01 November 2022]が公開されました。
OpenSSLには、次の脆弱性が存在します。
深刻度 – 高(Severity: High)
- 電子メールアドレスの処理における4バイトのバッファオーバーフロー – CVE-2022-3602
X.509証明書の検証を行う際、証明書の名前のチェック時にバッファオーバーフローが発生する可能性があります。ただし、この問題は証明書チェーンの署名検証の後で発生します。そのため、悪意ある細工が行われた証明書に対してCAが署名し、本来ならば途中で失敗するはずの証明書チェーン検証が成功することにより、その後の処理が継続してしまう場合においてのみ、この問題が発生することに注意してください。攻撃者は、証明書中の電子メールアドレスに細工を施し、スタック上のメモリを4バイトオーバーフローさせることができます。 - 電子メールアドレスの処理における可変長バイトのバッファオーバーフロー – CVE-2022-3786
X.509証明書の検証を行う際、証明書の名前のチェック時にバッファオーバーフローが発生する可能性があります。CVE-2022-3602と同様に、この問題は証明書チェーンの署名検証の後で発生します。そのため、悪意ある細工が行われた証明書に対してCAが署名し、本来ならば途中で失敗するはずの証明書チェーン検証が成功することにより、その後の処理が継続してしまう場合においてのみ、この問題が発生することに注意してください。攻撃者は、証明書中の電子メールアドレスに細工を施し、スタック上の「.」文字(10進数では”46″)が格納された箇所を含む、任意のバイト数をオーバーフローさせることができます。
想定される影響
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- システムがサービス運用妨害(DoS)状態にされたり、遠隔からのコード実行が行われたりする – CVE-2022-3602
- システムがサービス運用妨害(DoS)状態にされる – CVE-2022-3786
対策方法
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性への対策版として次のバージョンをリリースしています。
- OpenSSL 3.0.7
同時期にOpenSSL 1.1.1sがリリースされていますが、これは他の問題に対するバグ修正であり、本脆弱性に対する修正ではありません。
ベンダ情報
OpenSSL Project
- OpenSSL Security Advisory [01 November 2022]
- CVE-2022-3786 and CVE-2022-3602: X.509 Email Address Buffer Overflows
参考情報
- NCSC-NL / OpenSSL-2022 – GitHub
2022 OpenSSL vulnerability – CVE-2022-3602
備考
最終更新日 2022.11.02
