OpenSSL の c_rehash スクリプトにおけるシェルのメタ文字のサニタイズに関する脆弱性

【概要】
OpenSSL の c_rehash スクリプトには、コマンドインジェクションを防ぐためのシェルのメタ文字のサニタイズに関する脆弱性が存在します。
【CVSS による深刻度 (CVSS とは?)】
CVSS v3 による深刻度基本値: 9.8 (緊急) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): 高完全性への影響(I): 高可用性への影響(A): 高 CVSS v2 による深刻度基本値: 10.0 (危険) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃前の認証要否: 不要機密性への影響(C): 全面的完全性への影響(I): 全面的可用性への影響(A): 全面的
【影響を受けるシステム】

OpenSSL Project OpenSSL 3.0.0 OpenSSL 3.0.1 OpenSSL 3.0.2 OpenSSL 1.1.1 から 1.1.1n OpenSSL 1.0.2 から 1.0.2zd

【想定される影響】
攻撃者により、スクリプトの権限で任意のコマンドを実行される可能性があります。
【対策】
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
【ベンダ情報】
OpenSSL Project Git : c_rehash: Do not use shell to invoke openssl (parent: 7d56a74) Git : c_rehash: Do not use shell to invoke openssl (parent: 982fad3) OpenSSL Security Advisory : OpenSSL Security Advisory [03 May 2022]
【CWEによる脆弱性タイプ一覧 CWEとは?】
OSコマンドインジェクション(CWE-78) [NVD評価]
【共通脆弱性識別子(CVE) CVEとは?】
CVE-2022-1292 出典：JVN iPedia

一覧に戻る