公開日:2022/06/22 最終更新日:2022/06/22

JVNVU#92867820
OpenSSLのc_rehashスクリプトにおけるコマンドインジェクションの脆弱性

概要

OpenSSLのc_rehashスクリプトには、シェルのメタ文字を適切にサニタイズしていない問題があります。

影響を受けるシステム

  • OpenSSL 3.0.4より前のバージョン
  • OpenSSL 1.1.1pより前のバージョン
  • OpenSSL 1.0.2zfより前のバージョン
OpenSSL 1.1.0はサポートが終了しているため、本脆弱性の評価を実施していないとのことです。

詳細情報

OpenSSL Projectより、OpenSSL Security Advisory [21 June 2022]が公開されました。
OpenSSLには、次の脆弱性が存在します。
深刻度 - 中(Severity: Moderate)
c_rehashスクリプトには、シェルのメタ文字を適切にサニタイズしていない問題に起因するコマンドインジェクション(CWE-77、CVE-2022-2068)の脆弱性が存在します。
OpenSSLの開発者はc_rehashスクリプトをOpenSSL rehashコマンドラインツールに置き換える必要があるとしています。

想定される影響

c_rehashスクリプトは、一部のオペレーティングシステムでは自動的に実行されるため、このようなオペレーティングシステムでは第三者によってスクリプトの実行権限で任意のコマンドを実行される可能性があります。

対策方法

開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性への対策版として次のバージョンをリリースしています。

  • OpenSSL 3.0.4
  • OpenSSL 1.1.1p
  • OpenSSL 1.0.2zf(プレミアムサポートを契約したユーザーのみ)
OpenSSL 1.0.2系はサポートが終了しているため、プレミアムサポートを契約したユーザを除きアップデートは提供されません。
開発者は、OpenSSL 1.0.2プレミアムサポートを契約したユーザ以外に対しては、OpenSSL 3.0系もしくは1.1.1系へのアップデートを推奨しています。

ベンダ情報

ベンダ リンク
OpenSSL Project OpenSSL Security Advisory [21 June 2022]

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia