OpenSSLにリモートコード実行の脆弱性、アップデートを

米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は11月1日(米国時間)、「OpenSSL Releases Security Update｜CISA」において、OpenSSLに2つの脆弱性が存在すると伝えた。

これら脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされている。脆弱性に関する情報は次のページにまとまっている。

https://www.openssl.org/news/secadv/20221101.txt
CVE-2022-3786 and CVE-2022-3602: X.509 Email Address Buffer Overflows - OpenSSL Blog
OpenSSL version 3.0.7 published
OpenSSL-2022/README.md at main · NCSC-NL/OpenSSL-2022

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

OpenSSL 3.0.0から3.0.6までのバージョン

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

OpenSSL 3.0.7

OpenSSL 3.0.0から3.0.6までのバージョンには「CVE-2022-3602」および「CVE-2022-3786」として特定される2つの脆弱性が存在するとされている。これら脆弱性を悪用された場合、悪意あるメールアドレスによってスタック上の4バイトをオーバーフローさせることができ、これを用いて、サービス運用妨害(DoS: Denial of Service)を引き起こされたり、リモートからコードを実行されたりする危険性があるとされている。