各位
OpenSSLの脆弱性(CVE-2022-3602、CVE-2022-3786)に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220030.html
I. 概要2022年11月1日(現地時間)、OpenSSL Projectから、重要度「High」とされるOpenSSLの脆弱性(CVE-2022-3602、CVE-2022-3786)に関する情報が公開されました。OpenSSLには、X.509証明書の検証処理を通じてバッファオーバーフローが発生する脆弱性があります。脆弱性が悪用された場合、攻撃者が用意した悪意のある証明書により、4バイト(CVE-2022-3602)あるいは任意のバイト数(CVE-2022-3786)のオーバーフローを発生させられる可能性があります。結果として、サービス運用妨害(DoS)状態にされたり(CVE-2022-3602, CVE-2022-3786)、遠隔からのコード実行が行われたりする可能性があります(CVE-2022-3602)。
脆弱性の詳細については、OpenSSL Projectの情報を確認してください。
OpenSSL Project
OpenSSL Security Advisory [01 November 2022]
https://www.openssl.org/news/secadv/20221101.txt
OpenSSLによると本アドバイザリ公開時点(2022年11月1日)において、本脆弱性の悪用を認識していないとのことです。JPCERT/CCにおいても、現時点で本脆弱性に関する悪用の情報は確認していませんが、対象となるバージョンを使用している場合には、「III. 対策」を参考に、早期の対応を行うことを強く推奨します。
II. 対象対象となるバージョンは次のとおりです。
- OpenSSL 3.0.7より前の3.0系のバージョン
OpenSSL 1.1.1および1.0.2は、この問題の影響を受けません。
III. 対策OpenSSLを次の最新のバージョンに更新してください。
- OpenSSL 3.0.7
IV. 参考情報
OpenSSL blog
CVE-2022-3786 and CVE-2022-3602: X.509 Email Address Buffer Overflows
https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/
JVNVU#92673251
OpenSSLに複数の脆弱性
https://jvn.jp/vu/JVNVU92673251/
NCSC-NL/OpenSSL-2022
https://github.com/NCSC-NL/OpenSSL-2022
- オランダのNational Cyber Security Centre(NCSC)がGitHubにて、本脆弱性の概要や脆弱性の影響を受ける製品一覧などの情報をまとめたページを公開しています。
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
==============================
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
JPCERT-AT-2022-0030
JPCERT/CC
2022-11-02
JPCERT/CC Alert 2022-11-02
OpenSSLの脆弱性(CVE-2022-3602、CVE-2022-3786)に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220030.html
I. 概要2022年11月1日(現地時間)、OpenSSL Projectから、重要度「High」とされるOpenSSLの脆弱性(CVE-2022-3602、CVE-2022-3786)に関する情報が公開されました。OpenSSLには、X.509証明書の検証処理を通じてバッファオーバーフローが発生する脆弱性があります。脆弱性が悪用された場合、攻撃者が用意した悪意のある証明書により、4バイト(CVE-2022-3602)あるいは任意のバイト数(CVE-2022-3786)のオーバーフローを発生させられる可能性があります。結果として、サービス運用妨害(DoS)状態にされたり(CVE-2022-3602, CVE-2022-3786)、遠隔からのコード実行が行われたりする可能性があります(CVE-2022-3602)。
脆弱性の詳細については、OpenSSL Projectの情報を確認してください。
OpenSSL Project
OpenSSL Security Advisory [01 November 2022]
https://www.openssl.org/news/secadv/20221101.txt
OpenSSLによると本アドバイザリ公開時点(2022年11月1日)において、本脆弱性の悪用を認識していないとのことです。JPCERT/CCにおいても、現時点で本脆弱性に関する悪用の情報は確認していませんが、対象となるバージョンを使用している場合には、「III. 対策」を参考に、早期の対応を行うことを強く推奨します。
II. 対象対象となるバージョンは次のとおりです。
- OpenSSL 3.0.7より前の3.0系のバージョン
OpenSSL 1.1.1および1.0.2は、この問題の影響を受けません。
III. 対策OpenSSLを次の最新のバージョンに更新してください。
- OpenSSL 3.0.7
IV. 参考情報
OpenSSL blog
CVE-2022-3786 and CVE-2022-3602: X.509 Email Address Buffer Overflows
https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/
JVNVU#92673251
OpenSSLに複数の脆弱性
https://jvn.jp/vu/JVNVU92673251/
NCSC-NL/OpenSSL-2022
https://github.com/NCSC-NL/OpenSSL-2022
- オランダのNational Cyber Security Centre(NCSC)がGitHubにて、本脆弱性の概要や脆弱性の影響を受ける製品一覧などの情報をまとめたページを公開しています。
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
==============================
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
前
コメント
共 有
