【概要】
OpenSSLには、複数の脆弱性が存在します。

【影響を受けるシステム】
・CVE-2022-2274
　　OpenSSL 3.0.4
　　　　X86_64CPUのAVX512IFMA命令をサポートし、2048ビットRSA秘密鍵を使用するサーバで影響を受けます
・CVE-2022-2097
　　OpenSSL 1.1.1から1.1.1pおよび3.0.0から3.0.4
　　　　OpenSSLのTLSおよびDTLSでは、OCBベースの暗号スイートをサポートしていないため影響を受けません

【詳細情報】
OpenSSL Projectより、OpenSSL Security Advisory [5 July 2022]が公開されました。
OpenSSLには、次の脆弱性が存在します。

深刻度 - 高（Severity: High）
・RSA秘密鍵の操作におけるヒープメモリ破損 - CVE-2022-2274
　　OpenSSL 3.0.4リリースのAVX512IFMA命令をサポートするX86_64CPUのRSA実装不備により、2048ビットの秘密鍵を使用すると、計算中にメモリ破壊が発生する


深刻度 - 中（Severity: Moderate）
・AES OCBが一部のバイトの暗号化に失敗 - CVE-2022-2097
　　32ビットx86プラットフォーム向けのAES OCBモードにおいて、AES-NIアセンブリ最適化実装を使用するとデータが暗号化されない場合がある

【想定される影響】
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

・攻撃者によって、リモートコード実行が行われる - CVE-2022-2274
・攻撃者によって、メモリ内のデータが読み取られる - CVE-2022-2097

【対策方法】
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性への対策版として次のバージョンをリリースしています。

・CVE-2022-2274
　　OpenSSL 3.0.5
・CVE-2022-2097
　　OpenSSL 1.1.1q
　　OpenSSL 3.0.5

【ベンダ情報】
ベンダ 　　　　　　 　 リンク
OpenSSL Project　　　OpenSSL Security Advisory [5 July 2022]



出典：JVN