「OpenSSL」にセキュリティアップデート - 脆弱性の評価は下方修正
OpenSSLの開発チームは、協定世界時11月1日に事前予告どおりセキュリティアップデート「同3.0.7」をリリースし、複数の脆弱性に対処した。当初重要度は「クリティカル(Critical)」を予定していたが、「高(High)」へと下方修正されている。
今回明らかにされた脆弱性は、「X.509証明書」の検証処理を通じてバッファオーバーフローが生じるおそれがある「CVE-2022-3602」。細工された証明書を処理するとサービス拒否が生じたり、リモートよりコードを実行されるおそれがある。
重要度はもっとも高い「クリティカル」との触れ込みだったが、テストの結果や、多くのモダンなプラットフォームではスタックオーバーフローの保護機能など緩和策を備えていることを考慮し、開発チームでは重要度を「高(High)」と1段引き下げた。
また「CVE-2022-3602」とあわせて、同脆弱性の調査時に発見された重要度「高(High)」の脆弱性「CVE-2022-3786」についても解消した。レーティングは当初の予定どおりで、悪用によってリモートよりコードを実行されるおそれなどはないとしている。いずれも悪用は確認されていない。
開発チームは、重要度のレーティングを引き下げたが、重大な脆弱性であることには変わりないと説明。可能なかぎり早急に更新するよう利用者に呼びかけている。
あわせて「OpenSSL 1.1.1s」をリリースした。「同1.1.1」系についてはこれら脆弱性の影響は受けず、セキュリティ上の修正は含まれない「バグフィクス」と位置づけている。
(Security NEXT - 2022/11/02 )
ツイート
PR
関連記事
「NetScaler ADC/Gateway」にゼロデイ脆弱性 - 早急に更新を
「Chrome」にゼロデイ脆弱性、アップデート公開 - 軽減策の実施も
特権コマンド実行ツール「sudo」に重要度「クリティカル」の脆弱性
【特別企画】専門家13人が「生成AI時代」のセキュリティを多角的に解説
学童保育で利用料決定通知書1クラス分が所在不明に - 和歌山市
個人情報残存する「就職先情報リスト」を学生に共有 - 摂南大
法人の不正送金被害が約8.6倍 - 金額ベースで個人を上回る
テゲ宮崎の通販サイト、管理ページが認証なしで閲覧可能に
サイバー攻撃でシステム障害が発生 - ヤマダコーポレーション
「IBM WebSphere Application Server」にRCE脆弱性 - 暫定パッチ公開