【概要】

OpenSSL Project より、OpenSSL Security Advisory [21 June 2022] が公開されました。
OpenSSL には、次の脆弱性が存在します。
深刻度 - 中 （Severity: Moderate）
c_rehash スクリプトには、シェルのメタ文字を適切にサニタイズしていない問題に起因するコマンドインジェクション （CWE-77、CVE-2022-2068） の脆弱性が存在します。
OpenSSL の開発者は c_rehash スクリプトを OpenSSL rehash コマンドラインツールに置き換える必要があるとしています。

【CVSS による深刻度 (CVSS とは?)】

【影響を受けるシステム】

OpenSSL Project
OpenSSL 3.0.4 より前のバージョン
OpenSSL 1.1.1p より前のバージョン
OpenSSL 1.0.2zf より前のバージョン

OpenSSL 1.1.0 はサポートが終了しているため、本脆弱性の評価を実施していないとのことです。

【想定される影響】

c_rehash スクリプトは、一部のオペレーティングシステムでは自動的に実行されるため、このようなオペレーティングシステムでは第三者によってスクリプトの実行権限で任意のコマンドを実行される可能性があります。

【対策】

開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性への対策版として次のバージョンをリリースしています。

* OpenSSL 3.0.4
* OpenSSL 1.1.1p
* OpenSSL 1.0.2zf （プレミアムサポートを契約したユーザーのみ）

OpenSSL 1.0.2 系はサポートが終了しているため、プレミアムサポートを契約したユーザを除きアップデートは提供されません。
開発者は、OpenSSL 1.0.2 プレミアムサポートを契約したユーザ以外に対しては、OpenSSL 3.0 系もしくは 1.1.1 系へのアップデートを推奨しています。

【ベンダ情報】

OpenSSL Project
OpenSSL Security Advisory : OpenSSL Security Advisory [21 June 2022]

【CWEによる脆弱性タイプ一覧 CWEとは?】

1. コマンドインジェクション(CWE-77) [その他]
   
   

【共通脆弱性識別子(CVE) CVEとは?】

1. CVE-2022-2068
   
   

出典：JVN iPedia