公開日:2022/06/22 最終更新日:2022/06/22
JVNVU#92867820
OpenSSLのc_rehashスクリプトにおけるコマンドインジェクションの脆弱性
OpenSSLのc_rehashスクリプトには、シェルのメタ文字を適切にサニタイズしていない問題があります。
- OpenSSL 3.0.4より前のバージョン
- OpenSSL 1.1.1pより前のバージョン
- OpenSSL 1.0.2zfより前のバージョン
OpenSSL Projectより、OpenSSL Security Advisory [21 June 2022]が公開されました。
OpenSSLには、次の脆弱性が存在します。
深刻度 - 中(Severity: Moderate)
c_rehashスクリプトには、シェルのメタ文字を適切にサニタイズしていない問題に起因するコマンドインジェクション(CWE-77、CVE-2022-2068)の脆弱性が存在します。
OpenSSLの開発者はc_rehashスクリプトをOpenSSL rehashコマンドラインツールに置き換える必要があるとしています。
c_rehashスクリプトは、一部のオペレーティングシステムでは自動的に実行されるため、このようなオペレーティングシステムでは第三者によってスクリプトの実行権限で任意のコマンドを実行される可能性があります。
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性への対策版として次のバージョンをリリースしています。
- OpenSSL 3.0.4
- OpenSSL 1.1.1p
- OpenSSL 1.0.2zf(プレミアムサポートを契約したユーザーのみ)
開発者は、OpenSSL 1.0.2プレミアムサポートを契約したユーザ以外に対しては、OpenSSL 3.0系もしくは1.1.1系へのアップデートを推奨しています。
ベンダ | リンク |
OpenSSL Project | OpenSSL Security Advisory [21 June 2022] |