米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は11月1日(米国時間)、「OpenSSL Releases Security Update|CISA」において、OpenSSLに2つの脆弱性が存在すると伝えた。
これら脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされている。脆弱性に関する情報は次のページにまとまっている。
- https://www.openssl.org/news/secadv/20221101.txt
- CVE-2022-3786 and CVE-2022-3602: X.509 Email Address Buffer Overflows - OpenSSL Blog
- OpenSSL version 3.0.7 published
- OpenSSL-2022/README.md at main · NCSC-NL/OpenSSL-2022
-
CVE-2022-3786 and CVE-2022-3602: X.509 Email Address Buffer Overflows - OpenSSL Blog
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- OpenSSL 3.0.0から3.0.6までのバージョン
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- OpenSSL 3.0.7
OpenSSL 3.0.0から3.0.6までのバージョンには「CVE-2022-3602」および「CVE-2022-3786」として特定される2つの脆弱性が存在するとされている。これら脆弱性を悪用された場合、悪意あるメールアドレスによってスタック上の4バイトをオーバーフローさせることができ、これを用いて、サービス運用妨害(DoS: Denial of Service)を引き起こされたり、リモートからコードを実行されたりする危険性があるとされている。
Google Playに300超のAndroidマルウェア、6,000万回ダウンロード
