OpenSSLが「重要」の脆弱性に対処 予告通り新バージョンをリリース
OpenSSLプロジェクトは「OpenSSL 3.0.7」を公開した。当初の発表からは深刻度は下がったが、2つの脆弱性に対処しており、該当製品を使用している場合は迅速なアップデートが求められる。
OpenSSLプロジェクトは2022年11月1日(現地時間)、2つの脆弱(ぜいじゃく)性(CVE-2022-3602、CVE-2022-3786)を修正した「OpenSSL 3.0.7」を公開した。
CVE-2022-3602とCVE-2022-3786の深刻度は「重要」(High)に分類されている。該当ソフトウェアを使用している場合、アップデートの適用が推奨される。
細工された電子メールアドレスでRCEを引き起こす危険性あり
脆弱性の影響を受けるソフトウェアとバージョンは以下の通りだ。
- OpenSSL versions 3.0.0〜3.0.6
脆弱性が修正されたソフトウェアとバージョンは以下の通りだ。
- OpenSSL version 3.0.7
CVE-2022-3602とCVE-2022-3786は、X.509証明書の検証のうち電子メールアドレス名の制約処理でバッファオーバーフローが生じる可能性がある。サイバー攻撃者などがこれらを利用することでリモートコード実行を引き起こす危険性がある。
OpenSSLプロジェクトは当初、これらの脆弱性を深刻度「緊急」と分析し、リリースする前の段階でリリースを告知していた。しかし、情報が公開された段階で深刻度は「重要」(High)に引き下げられた。バッファオーバーフローによってもたらされる実際の影響が当初の想定よりも深刻化しにくいという判断があるとされている。
同脆弱性については以下のページにも情報がまとまっている。
また、以下のページにはこの脆弱性の影響を受けるとみられるプロダクトの一覧が掲載されているので合わせて対処してほしい。
今回のOpenSSLのアップデートについては、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)からも「情報が公開されている。該当ソフトウェアを利用している場合、上記の情報を確認するなどし、問題修正済みのバージョンにアップデートしてほしい。
関連記事
- OpenSSLが「緊急」の脆弱性に対処 2022年11月1日に新バージョンをリリース
OpenSSLプロジェクトは2022年11月1日にセキュリティアップデートバージョン「OpenSSL 3.0.7」を公開すると発表した。深刻度「緊急」(CRITICAL)の脆弱性に対処するとされており、リリース後には迅速なアップデートの適用が求められる。 - 大阪急性期・総合医療センターにランサムウェア攻撃 復旧のめど立たず
大阪急性期・総合医療センターがランサムウェアによるサイバー攻撃被害を発表した。この影響により電子カルテシステムで障害が発生しており、本稿執筆時点で復旧のめどは立っていない。 - VMware Cloud FoundationにCVSS v3スコア9.8の脆弱性 迅速にアップデートを
VMware Cloud Foundationに「緊急」の脆弱性が存在することが報告された。同脆弱性を悪用されるとシステムの制御権が乗っ取られる危険性があるとされ、注意が必要だ。迅速なアップデートの適用が求められる。 - 世界でサイバーセキュリティ人材はどのくらい不足しているのか? (ISC)2が調査結果発表
(ISC)2はグローバルでのサイバーセキュリティ人材調査の結果を発表した。調査によれば、サイバーセキュリティの人材は増加している。しかし、それでも必要な人材の確保に追い付いていない実態が明らかにされている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.