「OpenSSL 3.0.8」が公開 ～8件の脆弱性を修正

「OpenSSL」プロジェクトが公開したブログ記事

　SSL/TLSプロトコルを実装したオープンソースライブラリ「OpenSSL」が2月7日（協定世界時）、「OpenSSL 3.0.8」へアップデートされた。複数の脆弱性を修正したセキュリティ更新となっている。

　今回修正された脆弱性は、以下の8件（括弧内は深刻度の評価）。

• CVE-2023-0286：X.400 address type confusion in X.509 GeneralName（High）
• CVE-2022-4304：Timing Oracle in RSA Decryption（Moderate）
• CVE-2022-4203：X.509 Name Constraints Read Buffer Overflow（Moderate）
• CVE-2023-0215：Use-after-free following BIO_new_NDEF（Moderate）
• CVE-2022-4450：Double free after calling PEM_read_bio_ex（Moderate）
• CVE-2023-0216：Invalid pointer dereference in d2i_PKCS7 functions（Moderate）
• CVE-2023-0217：NULL dereference validating DSA public key（Moderate）
• CVE-2023-0401：NULL dereference during PKCS7 data verification（Moderate）

　最悪の場合、メモリの内容を読み取られたり、システムがサービス運用妨害（DoS）攻撃をうけたり、ユーザーがサーバーへ送信したアプリケーションのデータが復号される可能性がある。

　なお、CVE-2023-0286、CVE-2022-4304、CVE-2023-0215、CVE-2022-4450に関しては旧バージョンである「OpenSSL 1.1.1」系統にも影響するとのこと。修正版の「OpenSSL 1.1.1t」が同時にリリースされている。「OpenSSL 1.0.2」系統に影響する脆弱性もあるが、パッチが提供されるのはプレミアムサポートの契約者のみなので注意したい。