2024年度クラウドネイティブセキュリティおよび利用状況レポート
OpenSSLプロジェクトチームは、10月25日にOpenSSL v3のバージョン3.0.6までに存在する2つのHIGH severity脆弱性(CVE-2022-3602、CVE-2022-3786)を発表し、11月1日にリリースされたバージョン3.0.7で修正しました。
OpenSSL 1.Xバージョンは影響を受けません。
当初CRITICALとされたCVE-2022-3602は、テスト後にHIGHにダウングレードされました。
これらの脆弱性はX.509証明書検証の名前制約チェック部分のスタックベースのバッファオーバーフローに関連しており、TLSクライアント構成またはサーバー構成で悪意のあるサーバーまたは証明書に接続するとトリガーされる可能性があります。
CVE-2022-3602は悪意のある電子メールアドレスを使ったスタック上の4バイトのオーバーフローに関連し、サービス拒否(DoS)を達成する可能性がありますが、リモートコード実行(RCE)の可能性は低いとされています。
CVE-2022-3786は、攻撃者が任意の数の「.」文字でバッファをオーバーフローさせることができるもので、RCEへの暴露は想定されません。
