OpenSSLが重大度の高い脆弱性CVE-2022-3786,CVE-2022-3602を修正するアップデートをリリース

Webサービス
OpenSSLが重大度の高い 2 つの脆弱性CVE-2022-3786、CVE-2022-3602を修正するアップデートをリリース

11月1日(現地時間)、OpenSSLが重大度の高い2つの脆弱性⁽CVE-2022-3786、CVE-2022-3602)を修正するアップデートをリリースしました。

OpenSSLバージョン3.0.0 ~ 3.0.6を利用するアプリケーションが影響を受ける対象となっており、バージョン3.0.7へのアップデートで対処可能です。

情報ソース

脆弱性の影響を受けるバージョン

OpenSSLバージョン3.0.0 ~ 3.0.6を使用しているアプリケーションが対象です。

OpenSSL 1.1.1および1.0.2はこの問題の影響を受けません。

脆弱性の詳細

脆弱性

以前、これらの脆弱性は深刻度「Critical」とアナウンスされていましたが、最近のOSではスタックオーバーフロー保護が有効化されていることが多く、悪用は比較的困難だという理由から、アップデートリリース後は深刻度の評価が「High」に引き下げられました。

これらの脆弱性が悪用された形跡はまだ見つかっていないとのことです。

X.509電子メールアドレス可変長バッファオーバーフロー⁽CVE-2022-3786)

X.509 証明書の検証でバッファオーバーランが発生する可能性があります。特に証明書チェーン署名検証後の「名前制約チェック」で発生します。

TLSサーバー(もしくはTLSクライアント)では、悪意のあるクライアント(TLSクライアントの場合:サーバー)に接続すると、この問題が発生する可能性があります。

X.509電子メールアドレス4バイトバッファオーバーフロー(CVE-2022-3602)

X.509 証明書の検証でバッファオーバーランが発生する可能性があります。特に証明書チェーン署名検証後の「名前制約チェック」で発生します。

攻撃者が電子メールアドレスに細工をすることで、サービス拒否を引き起こす「クラッシュ」の発生、または悪意のあるコードが実行される可能性があります。

TLSサーバー(もしくはTLSクライアント)では、悪意のあるクライアント(TLSクライアントの場合:サーバー)に接続すると、この問題が発生する可能性があります。

回避策

解決方法

OpenSSLバージョン3.0.7にアップグレードすることで対処可能です。

MECM(SCCM)を使えばアップデート適用がもっと効率的に!

MECMの機能を使えば、1万台もの大量のPCにも同時にソフトウェアを配布、適用させることが可能です。弊社アーザスではMECMの構築から運用までサポートしています。お気軽にご相談下さい!