公開日:2022/07/06 最終更新日:2022/07/06

JVNVU#96381485
OpenSSLに複数の脆弱性

概要

OpenSSLには、複数の脆弱性が存在します。

影響を受けるシステム

  • CVE-2022-2274
    • OpenSSL 3.0.4
      • X86_64CPUのAVX512IFMA命令をサポートし、2048ビットRSA秘密鍵を使用するサーバで影響を受けます
  • CVE-2022-2097
    • OpenSSL 1.1.1から1.1.1pおよび3.0.0から3.0.4
      • OpenSSLのTLSおよびDTLSでは、OCBベースの暗号スイートをサポートしていないため影響を受けません

詳細情報

OpenSSL Projectより、OpenSSL Security Advisory [5 July 2022]が公開されました。
OpenSSLには、次の脆弱性が存在します。

深刻度 - 高(Severity: High)

  • RSA秘密鍵の操作におけるヒープメモリ破損 - CVE-2022-2274
    • OpenSSL 3.0.4リリースのAVX512IFMA命令をサポートするX86_64CPUのRSA実装不備により、2048ビットの秘密鍵を使用すると、計算中にメモリ破壊が発生する
深刻度 - 中(Severity: Moderate)
  • AES OCBが一部のバイトの暗号化に失敗 - CVE-2022-2097
    • 32ビットx86プラットフォーム向けのAES OCBモードにおいて、AES-NIアセンブリ最適化実装を使用するとデータが暗号化されない場合がある

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 攻撃者によって、リモートコード実行が行われる - CVE-2022-2274
  • 攻撃者によって、メモリ内のデータが読み取られる - CVE-2022-2097

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性への対策版として次のバージョンをリリースしています。

  • CVE-2022-2274
    • OpenSSL 3.0.5
  • CVE-2022-2097
    • OpenSSL 1.1.1q
    • OpenSSL 3.0.5

ベンダ情報

ベンダ リンク
OpenSSL Project OpenSSL Security Advisory [5 July 2022]

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia