OpenSSL は、2 つの重大な脆弱性 (CVE-2022-3602 および CVE-2022-3786) に対するセキュリティ アップデートを発行します。

あなたのような読者が MUO のサポートを支援します。 当サイトのリンクを使用して購入すると、アフィリエイト手数料が発生する場合があります。 続きを読む。

2022 年 10 月の最終週、OpenSSL プロジェクトは OpenSSL ライブラリに 2 つの脆弱性を発見しました。 CVE-2022-3602 と CVE-2022-3786 は両方とも、CVSS スコアが 8.8 の「高」重大度の問題とラベル付けされており、「重大」と見なされる必要があるものより 0.2 ポイント低いだけです。

問題は、証明書ベースの認証のために OpenSSL が実行する証明書の検証プロセスにあります。 脆弱性を悪用すると、攻撃者はサービス拒否 (DoS) やリモート コード実行攻撃を開始する可能性があります。 OpenSSL v3.0.0 から v3.06 で見つかった 2 つの弱点に対するパッチがリリースされました。

OpenSSLとは?

OpenSSL は、クライアントとサーバー間の Web トラフィック交換を安全に保つために実装された、広く使用されているオープンソースの暗号化コマンド ライン ユーティリティです。 公開鍵と秘密鍵の生成、SSL/TLS 証明書のインストール、証明書情報の検証、および暗号化の提供に使用されます。

この問題は、2022 年 10 月 17 日に、Polar Bear が OpenSSL バージョン 3.0.0 から 3.0.6 に見つかった 2 つの高レベルの脆弱性を OpenSSL Project に開示したときに明らかになりました。 脆弱性は CVE-2022-3602 および CVE-2022-3786 です。

2022 年 10 月 25 日、脆弱性のニュースがインターネットを襲いました。 Red Hat ソフトウェア エンジニアであり、Apache Software Foundation のセキュリティ担当副社長である Mark Cox は、ツイートでこのニュースを伝えました。

攻撃者はこれらの脆弱性をどのように悪用できますか?

脆弱性 CVE-2022-3602 と CVE-2022-3786 のペアは、サーバー メモリの内容を悪用してユーザー情報とサーバーの秘密鍵を明らかにしたり、リモートでコードを実行したりするサイバー攻撃であるバッファ オーバーフロー攻撃を受けやすい傾向があります。

CVE-2022-3602

この脆弱性により、攻撃者は名前制約チェックで X.509 証明書検証のバッファ オーバーランを利用することができます。 これは、証明書チェーンの検証後に発生し、信頼できる発行者へのマッピングに失敗した場合でも、悪意のある証明書または証明書の検証に CA 署名が必要です。

攻撃者は、偽の電子メール アドレスを作成してスタック上で 4 バイトをオーバーフローさせるなどのフィッシング スキームを組み込むことができます。 これによりサービス拒否 (DoS) 攻撃が発生し、クラッシュ後にサービスが利用できなくなる可能性があります。または、攻撃者がリモート コード実行を実行する可能性があります。これは、アプリケーション サーバーを制御するためにコードがリモートで実行されることを意味します。

この脆弱性は、正規の TLS クライアントが悪意のあるサーバーに接続した場合、または正規の TLS サーバーが悪意のあるクライアントに接続した場合にトリガーされる可能性があります。

CVE-2022-3786

この脆弱性は、CVE-2022-3602 と同様に悪用されます。 唯一の違いは、攻撃者が悪意のある電子メール アドレスを作成して、「.」を含む任意のバイト数をオーバーフローさせることです。 文字 (10 進数 46)。 ただし、CVE-2022-3602 では、攻撃者が制御する 4 バイトのみが悪用されています。

悪名高い「Heartbleed」脆弱性フラッシュバック

2016 年に、OpenSSL で同様の問題が発見され、深刻度が「重大」と評価されました。 これはメモリ処理のバグであり、攻撃者が脆弱なサーバーの秘密鍵、パスワード、およびその他の機密情報を侵害する可能性がありました。 この悪名高いバグは Heartbleed (CVE-2014-0160) として知られており、今日まで 200,000 台を超えるマシンがこの脆弱性に対して脆弱であると見なされています。

修正は何ですか？

今日のサイバーセキュリティを意識した世界では、多くのプラットフォームがスタックオーバーフロー保護を実装して、攻撃者を寄せ付けません. これにより、バッファ オーバーフローに対して必要な軽減策が提供されます。

これらの脆弱性をさらに緩和するには、OpenSSL の最新リリース バージョンにアップグレードする必要があります。 OpenSSL v3.0.0 から v3.0.6 は脆弱であるため、OpenSSL v3.0.7 にアップグレードすることをお勧めします。 ただし、OpenSSL v1.1.1 および v1.0.2 を使用している場合、これらのバージョンは 2 つの脆弱性の影響を受けないため、引き続き使用できます。

悪用するのが難しい 2 つの脆弱性

これらの脆弱性が悪用される可能性は低いです。これは、条件の 1 つが信頼できる CA によって署名された不正な形式の証明書であるためです。 攻撃の状況がますます増加しているため、最新のシステムのほとんどは、これらのタイプの攻撃を回避するために、組み込みのセキュリティ メカニズムを確実に実装しています。

組み込みの高度な保護メカニズムを備えた今日の世界では、サイバーセキュリティは必要不可欠であり、このような脆弱性を悪用することは困難です。 OpenSSL によって適時にリリースされたセキュリティ更新プログラムのおかげで、これらの脆弱性について心配する必要はありません。 システムにパッチを適用し、適切なセキュリティ層を実装するなどの必要な措置を講じるだけで、OpenSSL を安全に使用できます。