「OpenSSL」にセキュリティアップデート - 脆弱性の評価は下方修正

OpenSSLの開発チームは、協定世界時11月1日に事前予告どおりセキュリティアップデート「同3.0.7」をリリースし、複数の脆弱性に対処した。当初重要度は「クリティカル（Critical）」を予定していたが、「高（High）」へと下方修正されている。

今回明らかにされた脆弱性は、「X.509証明書」の検証処理を通じてバッファオーバーフローが生じるおそれがある「CVE-2022-3602」。細工された証明書を処理するとサービス拒否が生じたり、リモートよりコードを実行されるおそれがある。

重要度はもっとも高い「クリティカル」との触れ込みだったが、テストの結果や、多くのモダンなプラットフォームではスタックオーバーフローの保護機能など緩和策を備えていることを考慮し、開発チームでは重要度を「高（High）」と1段引き下げた。

また「CVE-2022-3602」とあわせて、同脆弱性の調査時に発見された重要度「高（High）」の脆弱性「CVE-2022-3786」についても解消した。レーティングは当初の予定どおりで、悪用によってリモートよりコードを実行されるおそれなどはないとしている。いずれも悪用は確認されていない。

開発チームは、重要度のレーティングを引き下げたが、重大な脆弱性であることには変わりないと説明。可能なかぎり早急に更新するよう利用者に呼びかけている。

あわせて「OpenSSL 1.1.1s」をリリースした。「同1.1.1」系についてはこれら脆弱性の影響は受けず、セキュリティ上の修正は含まれない「バグフィクス」と位置づけている。

（Security NEXT - 2022/11/02 ） ツイート

PR

関連記事

「Exchange Server」のハイブリッド構成に深刻な脆弱性 - MSが定例外アドバイザリ
登録セキスペ試験、2026年度からCBT方式に移行
秘密管理ツール「OpenBao」に脆弱性 - 任意のコード実行が可能に
N-ableのIT管理ツールにゼロデイ脆弱性 - 米当局が悪用に注意喚起
サイトが閲覧不能に、個人情報流出のおそれも - 筋ジストロフィー協会
LLMキャッシュ管理ツールにRCE脆弱性 - キャッシュ汚染に起因
プリント管理ソフト「Xerox FreeFlow Core」に深刻な脆弱性
「Amazon EMR」に深刻な脆弱性 - 資格情報漏洩のおそれ
「GitLab」にアップデート - 12件の脆弱性を解消
「ICS」や「Avalanche」などIvanti複数製品に脆弱性