「OpenSSL 3.0.7」がリリース–脆弱性の評価は「緊急」から「重要」に引き下げ

今回は「「OpenSSL 3.0.7」がリリース–脆弱性の評価は「緊急」から「重要」に引き下げ」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 OpenSSL Projectが米国時間10月25日に「OpenSSL 3.0.7」のリリースを予告した際、同リリースは深刻度が「緊急」(Critical)の脆弱性を修正したバージョンになると発表していた。その後、同プロジェクトは11月1日、OpenSSL 3.0.7をリリースし、その発表の中で新バージョンで対処した同脆弱性の深刻度を引き下げた。

 深刻度が引き下げられたとはいえ、脆弱性の問題が消えてなくなったわけではない。CVE-2022-3786(「X.509証明書の電子メールアドレスにおける可変長バッファーのオーバーフロー」)とCVE-2022-3602(「X.509証明書の電子メールアドレスにおける4バイトバッファーのオーバーフロー」)はいずれも「重要」(High)と評価されている。これは、両脆弱性が依然として厄介な問題を引き起す恐れがあることを意味している。

 問題を抱えているのは、OpenSSLのバージョン3.0.0〜3.0.6だ。OpenSSLのバージョン1.1.1あるいは1.0.2にはこれらの脆弱性は含まれていない。ただし、OS自体がOpenSSL 1.xを使用しているからといって、これらの問題とは無関係だと考えてはいけない。アプリケーションやコンテナーが脆弱性を抱えたバージョンを使用している可能性もあるためだ。つまり、安心する前にコードをチェックした方がよいということだ。

 具体的には、CVE-2022-3602で憂慮すべき点は、X.509証明書の検証によってバッファーオーバーフローが引き起こされる可能性があるというところにある。つまり攻撃者は、巧妙な細工を施したメールアドレスによって、スタック上に存在する、攻撃者の制御下にある4バイトをオーバーフローさせることが可能になる。これにより、システムクラッシュやリモートコード実行(RCE)といった攻撃を仕掛けられるようになる。

 一方、CVE-2022-3786で憂慮すべき点は、巧妙な細工が施されたメールアドレスフィールドを伴うX.509証明書をOpenSSLが処理する際に、スタックベースのバッファーオーバーフローが引き起こされる可能性があるというところだ。ここでもシステムクラッシュやRCEといった攻撃の可能性がある。

 問題につながる最も一般的なシナリオは、悪意あるクライアントがサーバーに接続し、サーバーがクライアント認証を要求する場合、あるいはクライアントが悪意あるサーバーと接続する場合だ。ただ、実際の攻撃は現時点で確認されていない。

 ソフトウェアサプライチェーンのセキュリティを手掛けるSonatypeの共同創業者で最高技術責任者(CTO)のBrian Fox氏は、「メモリーオーバーフロー関連の脆弱性は最悪のシナリオにつながる可能性があるものの、今回の脆弱性を悪用する難易度は極めて高いと考えられる。この脆弱性を悪用するには、命名機関によって署名されるか信頼される、不正な形式の証明書が必要となる。つまり命名機関は、この種の脆弱性を狙うために細工された証明書の作成をただちに抑止することで、攻撃のスコープをさらに限定できるはずだ」と述べている。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
オフィスに戻る必要はない–レッドハット、リモートワークを定着化
IT関連
2022-09-17 09:41
オリックス銀行、日立製作所をクラウド運用変革の支援パートナーに選定
IT関連
2024-04-20 22:25
シスコ、クラウド型コンタクトセンター基盤を国内提供へ–「3本目の矢」に着手
IT関連
2022-09-30 21:36
Airbnb、売上高はほぼ4倍だがデルタ株を踏まえた消極的な来期予測
企業・業界動向
2021-08-14 10:09
中国のロボットタクシーユニコーンのWeRideが5カ月で660億円を超える資金を調達
モビリティ
2021-06-25 07:36
ビデオ会議用ツール「mmhmm」、ドコモ・システムズがTeams向けを販売
IT関連
2022-06-11 21:09
国立天文台、宇宙を占める「暗黒物質」の“地図”をAIで作成 スパコンによるシミュレーションで観測ノイズを除去
ロボット・AI
2021-07-06 12:17
SLO(サービスレベル目標)管理プラットフォームのNobl9がシリーズBで22億円調達
ソフトウェア
2021-02-12 06:34
ネットフリックスが「SpaceX」のオール民間人宇宙飛行ミッション「Inspiration4」のドキュメンタリーを9月配信
宇宙
2021-08-05 09:05
アップル製デバイスを狙う新たなパスワードリセット攻撃が登場
IT関連
2024-03-29 16:13
Apple、Apple Musicで“新しい音楽体験”を予告 ハイレゾ配信開始?
IT関連
2021-05-18 05:20
「Microsoft Teams」の一部機能、2月開始の有料プランに移行へ
IT関連
2023-01-19 21:35
「nasne」3度目の入荷も一晩で完売 来週も入荷あり
くらテク
2021-04-22 03:22
マイクロソフト、AIで「Teams」を強化へ–「背後に映る部屋の美化」などが可能に
IT関連
2023-11-17 09:40