-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2022-0030
                                                             JPCERT/CC
                                                            2022-11-02

                <<< JPCERT/CC Alert 2022-11-02 >>>

   OpenSSLの脆弱性（CVE-2022-3602、CVE-2022-3786）に関する注意喚起

            https://www.jpcert.or.jp/at/2022/at220030.html


I. 概要
2022年11月1日（現地時間）、OpenSSL Projectから、重要度「High」とされる
OpenSSLの脆弱性（CVE-2022-3602、CVE-2022-3786）に関する情報が公開され
ました。
OpenSSLには、X.509証明書の検証処理を通じてバッファオーバーフローが発生
する脆弱性があります。脆弱性が悪用された場合、攻撃者が用意した悪意のあ
る証明書により、4バイト（CVE-2022-3602）あるいは任意のバイト数（CVE-2022-3786）
のオーバーフローを発生させられる可能性があります。結果として、サービス
運用妨害（DoS）状態にされたり（CVE-2022-3602, CVE-2022-3786）、遠隔か
らのコード実行が行われたりする可能性があります（CVE-2022-3602）。

脆弱性の詳細については、OpenSSL Projectの情報を確認してください。

    OpenSSL Project
    OpenSSL Security Advisory [01 November 2022]
    https://www.openssl.org/news/secadv/20221101.txt

OpenSSLによると本アドバイザリ公開時点（2022年11月1日）において、本脆弱
性の悪用を認識していないとのことです。
JPCERT/CCにおいても、現時点で本脆弱性に関する悪用の情報は確認していま
せんが、対象となるバージョンを使用している場合には、「III. 対策」を参
考に、早期の対応を行うことを強く推奨します。


II. 対象
対象となるバージョンは次のとおりです。

 - OpenSSL 3.0.7より前の3.0系のバージョン

OpenSSL 1.1.1および1.0.2は、この問題の影響を受けません。


III. 対策
OpenSSLを次の最新のバージョンに更新してください。

 - OpenSSL 3.0.7


IV. 参考情報
    OpenSSL blog
    CVE-2022-3786 and CVE-2022-3602: X.509 Email Address Buffer Overflows
    https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/

    JVNVU#92673251
    OpenSSLに複数の脆弱性
    https://jvn.jp/vu/JVNVU92673251/

    NCSC-NL/OpenSSL-2022
    https://github.com/NCSC-NL/OpenSSL-2022
 - オランダのNational Cyber Security Centre（NCSC）がGitHubにて、本脆弱
性の概要や脆弱性の影響を受ける製品一覧などの情報をまとめたページを公開
しています。

今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで
ご連絡ください。

======================================================================
一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）
早期警戒グループ
Email：ew-info@jpcert.or.jp
-----BEGIN PGP SIGNATURE-----
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=VaYI
-----END PGP SIGNATURE-----