ニュース

「OpenSSL」にリモートコード実行などにつながる脆弱性 ~v3.0.5/1.1.1q」への更新を

最大深刻度は「High」

「OpenSSL」プロジェクトが公開したセキュリティアドバイザリ

 SSL/TLSプロトコルを実装したオープンソースライブラリ「OpenSSL」が、7月5日にアップデートされた。複数の脆弱性が修正されているので注意が必要だ。

 今回のリリースで修正された脆弱性は、以下の2件(括弧内は深刻度の評価)。

  • CVE-2022-2274:RSA秘密鍵の操作におけるヒープメモリ破損。リモートコード実行に悪用される恐れがある。「OpenSSL 3.0」系統にのみ影響(High)
  • CVE-2022-2097:AES OCBが一部のバイトの暗号化に失敗する。x86プラットフォームにのみ影響し、メモリが読み取られる恐れがある(Moderate)

 開発チームは、以下のバージョンへのアップデートを推奨している。

  • OpenSSL 1.1.1q
  • OpenSSL 3.0.5