SSL/TLSプロトコルを処理するライブラリ「OpenSSL」の開発チームは、OpenSSLに深刻度「重要(High)」の脆弱性が見つかったことと、脆弱性を修正した新版「OpenSSL 3.0.7」の提供を始めたことを11月1日(現地時間)に明らかにした。
今回見つかった脆弱性は「CVE-2022-3786」と「CVE-2022-3602」の2件。OpenSSLのバージョン3.0.0〜3.0.6が影響を受ける。どちらもX.509証明書の検証処理でスタックオーバーフローを引き起こしてしまうもので、CVE-2022-3786は攻撃者が細工したメールアドレスを処理しようとすると、スタックから4バイトをオーバーフローさせることができるというもので、サービスの停止や、リモートで悪意のあるコードを実行させることができる。
CVE-2022-3602は、攻撃者が細工したメールアドレスを処理しようとすると、スタック上の「.」を含む任意のバイト数のオーバーフローを起こすことができるというもの。サービスの停止を招く可能性がある。
開発チームは当初、2件の脆弱性のうち、CVE-2022-3602は深刻度が「緊急(Critical)」であるとしていたが、セキュリティ関係の各機関が検証した結果、最近のOSではスタックオーバーフローから保護する機能が動作しているため、悪用は困難であることが判明した。この結果、深刻度の評価が「重要(High)」に下がった。
OpenSSLの開発チームは、今回明らかになった脆弱性を悪用している例はまだ確認していないというが、影響を受けるバージョン(3.0.0〜3.0.6)を使用しているユーザーには一刻も早く3.0.7にアップグレードすることを推奨している。
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
