脆弱性を修正した「OpenSSL 3.0.7」が予告通り公開 ～ただし、深刻度評価は引き下げ

「OpenSSL」プロジェクトが公開したブログ記事

　「OpenSSL」の開発チームは11月1日（協定世界時）、「OpenSSL 3.0.7」を公開した。致命的な脆弱性があるとして、以前からリリースが予告されていたバージョンだ。

　「OpenSSL」は、SSL/TLSプロトコルを実装したオープンソースライブラリ。本リリースで修正された脆弱性は以下の2件で、「OpenSSL 3.0」系統（v3.0.0～v3.0.6）に影響する。

• CVE-2022-3602：X.509証明書をチェックする処理に問題があり、細工されたメールアドレスにより制御可能な4バイトをオーバーフローさせることができる。最悪の場合、リモートで任意のコードが実行されるおそれがある
• CVE-2022-3786：X.509証明書をチェックする処理に問題があり、細工されたメールアドレスによりスタック中の任意の「.」（10進数で46）を含む4バイトをオーバーフローさせることができる。最悪の場合、リモートで任意のコードが実行されるおそれがある

　深刻度の評価は、いずれも「High」。当初「CVE-2022-3602」の評価は「Critical」だとアナウンスされていたが、最近のOSではスタックオーバーフロー保護が有効化されていることが多く、悪用は比較的困難だという理由で評価が引き下げられている。

　とはいえ、今後これらの脆弱性を悪用した攻撃が編み出される可能性はゼロとは言えず、放置していいものではない。「OpenSSL 3.0」シリーズの利用者は、できるだけ早く対策版の「OpenSSL 3.0.7」へ更新しておきたい。

　なお、「OpenSSL 1.1.1」系統も同日付けで最新版「OpenSSL 1.1.1s」へ更新されているが、上記2件の脆弱性の影響は受けないとのこと。