• English
  • Japanese

OpenSSLの脆弱性(CVE-2022-3602)について


慶應義塾CSIRT
慶應義塾ITC


本日(2022年11月2日)、OpenSSL の脆弱性CVE-2022-3602 に対応した新しいバージョン3.0.7 が公開されました。 ただし事前に深刻度がcriticalと報じられ、センセーショナルに話題になっていましたが、現在はhigh に変更されています。

本脆弱性の影響については、大まかに言って次の通りです。

  • 世の中の多くのシステムで動いているOpenSSL 1系は対象外
  • 対象となっているシステムにおいても、OS などの防御手段で発動しない可能性が高い
  • 典型的なWebシステムにおいてはサーバよりもクライアントに影響が大きい(サーバが証明書によるクライアント認証をしている場合は、サーバにも影響がある)
  • さまざまなシステムに関する影響に関しては、 https://github.com/NCSC-NL/OpenSSL-2022/blob/main/software/README.md にまとまっている

最初の条件から、多くのシステムでは問題ありませんが、利用者が多そうなシステムで対象に該当しているものとしては以下のようなものがあります。

  • RedHat Enterprise Linux 9
  • CentOS Stream 9
  • Ubuntu 22.04 LTS
  • Homebrew
  • SoftEther VPN

なお、VMware Tools なども該当しているようですが、おそらく深刻な影響はなさそうです。 また、個別のシステムがOpenSSL 3 を要求するために、システム標準とは別途にOpenSSL 3をインストールしている可能性はあるので、念のため上記データの更新状況をチェックすることが望ましいでしょう。

【参考】

最終更新日: 2022年11月2日

内容はここまでです。