OpenSSLが「重要」の脆弱性に対処 予告通り新バージョンをリリース

OpenSSLプロジェクトは「OpenSSL 3.0.7」を公開した。当初の発表からは深刻度は下がったが、2つの脆弱性に対処しており、該当製品を使用している場合は迅速なアップデートが求められる。

[後藤大地，有限会社オングス]

　OpenSSLプロジェクトは2022年11月1日（現地時間）、2つの脆弱（ぜいじゃく）性（CVE-2022-3602、CVE-2022-3786）を修正した「OpenSSL 3.0.7」を公開した。

　CVE-2022-3602とCVE-2022-3786の深刻度は「重要」（High）に分類されている。該当ソフトウェアを使用している場合、アップデートの適用が推奨される。

OpenSSLプロジェクトは予告通り「OpenSSL 3.0.7」を公開した（出典：OpenSSLプロジェクトのWebサイト）

細工された電子メールアドレスでRCEを引き起こす危険性あり

　脆弱性の影響を受けるソフトウェアとバージョンは以下の通りだ。

• OpenSSL versions 3.0.0〜3.0.6

　脆弱性が修正されたソフトウェアとバージョンは以下の通りだ。

• OpenSSL version 3.0.7

　CVE-2022-3602とCVE-2022-3786は、X.509証明書の検証のうち電子メールアドレス名の制約処理でバッファオーバーフローが生じる可能性がある。サイバー攻撃者などがこれらを利用することでリモートコード実行を引き起こす危険性がある。

　OpenSSLプロジェクトは当初、これらの脆弱性を深刻度「緊急」と分析し、リリースする前の段階でリリースを告知していた。しかし、情報が公開された段階で深刻度は「重要」（High）に引き下げられた。バッファオーバーフローによってもたらされる実際の影響が当初の想定よりも深刻化しにくいという判断があるとされている。

　同脆弱性については以下のページにも情報がまとまっている。

• CVE-2022-3786 and CVE-2022-3602: X.509 Email Address Buffer Overflows - OpenSSL Blog

　また、以下のページにはこの脆弱性の影響を受けるとみられるプロダクトの一覧が掲載されているので合わせて対処してほしい。

• OpenSSL-2022/README.md at main ・ NCSC-NL/OpenSSL-2022

　今回のOpenSSLのアップデートについては、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）からも「情報が公開されている。該当ソフトウェアを利用している場合、上記の情報を確認するなどし、問題修正済みのバージョンにアップデートしてほしい。