OpenSSL の脆弱性対策について(CVE-2022-3602、CVE-2022-3786)
ニュース
【概要】
OpenSSL は、SSL および TLS の機能を提供する、オープンソースのライブラリです。
この OpenSSL において、X.509 証明書の検証処理を通じてバッファオーバーフローが発生する脆弱性が確認されています。
本脆弱性が悪用されると、攻撃者が用意した悪意のある証明書によりオーバーフローが引き起こされ、結果としてサービス運用妨害(DoS)や遠隔からのコード実行を行われる可能性があります。
今後被害が拡大する可能性があるため、早急に対策を実施して下さい。
【影響を受けるシステム】
- OpenSSL 3.0.7 より前の 3.0 系のバージョン
OpenSSL 1.1.1 および 1.0.2 は、この問題の影響を受けません。
【対策】
1.脆弱性の解消 - アップデートを実施
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。
- OpenSSL 3.0.7
【参考情報】
・CVE-2022-3786 and CVE-2022-3602: X.509 Email Address Buffer Overflows
・OpenSSLの脆弱性(CVE-2022-3602、CVE-2022-3786)に関する注意喚起
出典:独立行政法人情報処理推進機構(IPA)