Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「OpenSSL」にセキュリティアップデート - 脆弱性の評価は下方修正

OpenSSLの開発チームは、協定世界時11月1日に事前予告どおりセキュリティアップデート「同3.0.7」をリリースし、複数の脆弱性に対処した。当初重要度は「クリティカル(Critical)」を予定していたが、「高(High)」へと下方修正されている。

今回明らかにされた脆弱性は、「X.509証明書」の検証処理を通じてバッファオーバーフローが生じるおそれがある「CVE-2022-3602」。細工された証明書を処理するとサービス拒否が生じたり、リモートよりコードを実行されるおそれがある。

重要度はもっとも高い「クリティカル」との触れ込みだったが、テストの結果や、多くのモダンなプラットフォームではスタックオーバーフローの保護機能など緩和策を備えていることを考慮し、開発チームでは重要度を「高(High)」と1段引き下げた。

また「CVE-2022-3602」とあわせて、同脆弱性の調査時に発見された重要度「高(High)」の脆弱性「CVE-2022-3786」についても解消した。レーティングは当初の予定どおりで、悪用によってリモートよりコードを実行されるおそれなどはないとしている。いずれも悪用は確認されていない。

開発チームは、重要度のレーティングを引き下げたが、重大な脆弱性であることには変わりないと説明。可能なかぎり早急に更新するよう利用者に呼びかけている。

あわせて「OpenSSL 1.1.1s」をリリースした。「同1.1.1」系についてはこれら脆弱性の影響は受けず、セキュリティ上の修正は含まれない「バグフィクス」と位置づけている。

(Security NEXT - 2022/11/02 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Django」にDoS攻撃受けるおそれ - アップデートで対処
行政オンラインシステムで個人情報含む書類を誤交付 - 大阪市消防局
サポート詐欺への対応不備で長野県教委に行政指導 - 個情委
県立高教諭が「偽警告」被害、第三者が業務用端末を遠隔操作 - 長野県
サポート詐欺でPC遠隔操作、個人情報流出の可能性 - 堺市体育館
入学予定者の個人情報、発送するも委託先に届かず - 東京外国語大
JSSEC、3月に「セキュリティフォーラム2024」開催 - 「生成AI」などテーマに
ヘアケアツール通販サイトに不正アクセス - 個人情報流出の可能性
ライブラリ「libuv」にSSRFの脆弱性 - アップデートで解消
国際作戦で「LockBit」の一部関係者を逮捕 - 復号鍵など押収