公開日:2022/05/06 最終更新日:2022/08/02
JVNVU#93032579
OpenSSLに複数の脆弱性
OpenSSLには、複数の脆弱性が存在します。
- CVE-2022-1292
- OpenSSL 1.0.2zeより前のバージョン
- OpenSSL 1.1.1oより前のバージョン
- OpenSSL 3.0.3より前のバージョン
- CVE-2022-1343、CVE-2022-1434、CVE-2022-1473
- OpenSSL 3.0.3より前のバージョン
OpenSSL Projectより、OpenSSL Security Advisory [03 May 2022]が公開されました。
OpenSSLには、次の脆弱性が存在します。
深刻度 - 中(Severity: Moderate)
- c_rehashスクリプトにおけるコマンドインジェクション(CWE-77)- CVE-2022-1292
- 一部のオペレーションシステムにて自動実行されるc_rehashスクリプトは、シェルのメタ文字を適切にサニタイズしない。
- OCSP_basic_verifyにおける不適切な証明書検証(CWE-295)- CVE-2022-1343
- OCSP_basic_verifyが、(初期設定とは異なる)フラグ「OCSP_NOCHECKS」が設定されている環境で、署名証明書検証に失敗した場合でも、検証成功の応答を返す。
- RC4-MD5暗号スイートで使用されているMACキーが不正(CWE-327) - CVE-2022-1434
- RC4-MD5暗号スイート(OpenSSL 3.0の初期状態では使用されない)のOpenSSL3.0実装は、AADデータをMACキーとして誤って使用するため、MACキーを簡単に予測できる。
- 証明書または鍵をデコードする際のリソースリーク(CWE-404)- CVE-2022-1473
- 証明書または鍵をデコードする際にハッシュテーブルを空にするために利用されるOPENSSL_LH_flush()関数には、削除されたハッシュテーブルエントリによって占有されていたメモリを再利用しないバグがあり、メモリ使用量が際限なく拡大する。
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 攻撃者によって、c_rehashスクリプトの権限で任意のコマンドを実行される - CVE-2022-1292
- コマンドラインのOpenSSL「ocsp」アプリケーションにおいて、ocsp応答の検証時に「-no_cert_checks」オプションが設定されている、またはOCSP_basic_verifyでフラグ「OCSP_NOCHECKS」を設定している場合に検証が失敗した場合でも成功の応答となる - CVE-2022-1343
- man-in-the-middle攻撃によって、MAC整合性チェックが正しいと判断されるようにデータが書き換えられる - CVE-2022-1434
- メモリ使用量が際限なく拡大し、オペレーティングシステムによってプロセスが終了され、サービス運用妨害(DoS)状態にされる - CVE-2022-1473
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性への対策版として次のバージョンをリリースしています。
- OpenSSL 1.1.1o
- OpenSSL 3.0.3
OpenSSL 1.1.0およびOpenSSL 1.0.2はサポートが終了しているため、アップデートは配信されていません。
そのため、開発者はOpenSSL 1.0.2プレミアムサポート契約ユーザを除き、OpenSSL 3.0.3または1.1.1oへのアップグレードを推奨しています。
| ベンダ | ステータス | ステータス 最終更新日 |
ベンダの告知ページ |
|---|---|---|---|
| 三菱電機株式会社 | 該当製品あり | 2022/08/02 | 三菱電機株式会社 の告知ページ |
| 図研エルミック株式会社 | 該当製品無し | 2022/06/09 |
| ベンダ | リンク |
| OpenSSL Project | OpenSSL Security Advisory [03 May 2022] |
- 2022/06/09
- 図研エルミック株式会社のベンダステータスが更新されました
- 2022/08/02
- 三菱電機株式会社のベンダステータスが更新されました
