「OpenSSL」にセキュリティアップデート - 脆弱性の評価は下方修正

OpenSSLの開発チームは、協定世界時11月1日に事前予告どおりセキュリティアップデート「同3.0.7」をリリースし、複数の脆弱性に対処した。当初重要度は「クリティカル（Critical）」を予定していたが、「高（High）」へと下方修正されている。

今回明らかにされた脆弱性は、「X.509証明書」の検証処理を通じてバッファオーバーフローが生じるおそれがある「CVE-2022-3602」。細工された証明書を処理するとサービス拒否が生じたり、リモートよりコードを実行されるおそれがある。

重要度はもっとも高い「クリティカル」との触れ込みだったが、テストの結果や、多くのモダンなプラットフォームではスタックオーバーフローの保護機能など緩和策を備えていることを考慮し、開発チームでは重要度を「高（High）」と1段引き下げた。

また「CVE-2022-3602」とあわせて、同脆弱性の調査時に発見された重要度「高（High）」の脆弱性「CVE-2022-3786」についても解消した。レーティングは当初の予定どおりで、悪用によってリモートよりコードを実行されるおそれなどはないとしている。いずれも悪用は確認されていない。

開発チームは、重要度のレーティングを引き下げたが、重大な脆弱性であることには変わりないと説明。可能なかぎり早急に更新するよう利用者に呼びかけている。

あわせて「OpenSSL 1.1.1s」をリリースした。「同1.1.1」系についてはこれら脆弱性の影響は受けず、セキュリティ上の修正は含まれない「バグフィクス」と位置づけている。

（Security NEXT - 2022/11/02 ） ツイート

PR

関連記事

教員がサポート詐欺被害、NAS内の個人情報が流出か - 山形大付属中
市バスのドラレコ映像が保存されたUSBメモリが所在不明 - 川崎市
がん検診クーポン券に別人の住所、委託事業者のミスで - 横須賀市
個人情報流出の可能性、高負荷から事態を把握 - 楽待
Perl向け暗号ライブラリ「CryptX」に複数脆弱性
監視ソフト「IBM Tivoli Monitoring」にRCE脆弱性 - 早急に更新を
掲示板ツール「vBulletin」に深刻な脆弱性 - 実証コードや悪用も
ZohoのExchange監視ツールに深刻な脆弱性 - アップデートを
委託先で個人情報流出か、セキュリティ監査に虚偽報告 - ソフトバンク
「Wazuh」や「Windows WEBDAV」の脆弱性悪用に注意