OpenSSLで史上2度目の「致命的」レベルの脆弱性が発見される、2022年11月1日夜間に修正版がリリースされるため即更新を
OpenSSLに重大度「CRITICAL(致命的)」の脆弱(ぜいじゃく)性が発見されました。脆弱性への対応は迅速に行われており、日本時間の2022年11月1日22時~2022年11月2日4時の間に修正版の「OpenSSL 3.0.7」が公開予定です。OpenSSLに重大度「CRITICAL」の脆弱性が発見されたのは、2014年に報告されて世界中を騒がせた「Heartbleed」に続いて史上2回目。修正版のリリース後には、速やかにアップデートを適用する必要があります。【2022年11月2日追記】その後の分析の結果、OpenSSL 3.0.7で修正された脆弱性の重大度は「HIGH(CRITICALの1段階下)」に修正されました。
Forthcoming OpenSSL Releases
https://mta.openssl.org/pipermail/openssl-announce/2022-October/000238.html
OpenSSLは暗号通信プロトコル「SSL/TLS」をサポートするオープンソースライブラリで、事実上の業界標準ライブラリとして世界全体で広く利用されています。このため、2014年にデータの奪取が可能な脆弱性「Heartbleed」が発見された際には、世界中のインターネット管理者を悩ませることとなりました。
今回発見された脆弱性は、Heartbleedと同様に重大度「CRITICAL」に位置付けられており、記事作成時点では詳細が公表されていません。OpenSSLのセキュリティポリシーによると、「CRITICAL」というラベルは「リモートで簡単に悪用でき、サーバーの秘密鍵を侵害できる」「一般的な状況でコードをリモートで実行可能になる」といった「一般的なシステム構成に影響を与え、悪用される可能性のある脆弱性」に付けられるとのこと。今回の脆弱性が発表される以前は「Heartbleed」が唯一の「CRITICAL」な脆弱性であったことを考えると、今回の脆弱性がいかに重大なものかがうかがえます。
開発チームはすでに脆弱性の修正に取り組んでおり、日本時間の2022年11月1日22時~2022年11月2日4時の間に修正版の「OpenSSL 3.0.7」を公開予定とのこと。ネットワークの管理者には速やかにOpenSSLを最新版に更新することが求められます。
なお、OpenSSLはバージョン3系と並行してバージョン1系もメンテナンスされていますが、バージョン1系は今回発見された脆弱性の影響を受けないとのことです。
・2022年11月2日8時10分追記
日本時間の2022年11月2日1時に、「詳細な分析の結果、重大度をHIGH(CRITICALの1段階下)に引き下げた」という旨が通知されました。
OpenSSL Security Advisory
https://mta.openssl.org/pipermail/openssl-announce/2022-November/000243.html
また、OpenSSLの公式ブログでは重大度「CRITICAL」とされていた脆弱性の詳細情報も公開されました。ブログ記事によると、問題の脆弱性は適切なメモリ保護を実装した多くの最新プラットフォームでは悪用不能であることが判明したとのこと。このため「一般的なシステム構成に影響を与える」とは言えず、重大度が「HIGH」に引き下げられました。ただし、OpenSSLの開発チームは「バージョン3.0.0~3.0.6を利用しているユーザーは、なるべく早くバージョン3.0.7にアップデートすることを推奨します」と述べ、迅速なアップデートを呼びかけています。
CVE-2022-3786 and CVE-2022-3602: X.509 Email Address Buffer Overflows - OpenSSL Blog
https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/
・関連記事
ネット上のサイトの約66%が使用するOpenSSLに重大なバグが発見される - GIGAZINE
JavaのLog4jライブラリで発見された脆弱性「Log4Shell(CVE-2021-44228)」はなぜ世界中に大きな影響を与えるのか? - GIGAZINE
無料でOpenSSLに関する実務的な手順や解説が参照できる「OpenSSLクックブック」が配布中 - GIGAZINE
SSHの公開鍵暗号には「RSA」「DSA」「ECDSA」「EdDSA」のどれを使えばよいのか? - GIGAZINE
・関連コンテンツ