公開日:2022/11/02 最終更新日:2023/09/01

JVNVU#92673251
OpenSSLに複数の脆弱性

概要

OpenSSLには、複数の脆弱性が存在します。

影響を受けるシステム

  • OpenSSL 3.0.0から3.0.6
OpenSSL 1.1.1および1.0.2は、本脆弱性の影響を受けません。
また、影響を受けるシステムについては、NCSC-NLが公開している情報も参照してください。

詳細情報

OpenSSL Projectより、OpenSSL Security Advisory [01 November 2022]が公開されました。
OpenSSLには、次の脆弱性が存在します。

深刻度 - 高(Severity: High)

  • 電子メールアドレスの処理における4バイトのバッファオーバーフロー - CVE-2022-3602
    • X.509証明書の検証を行う際、証明書の名前のチェック時にバッファオーバーフローが発生する可能性があります。ただし、この問題は証明書チェーンの署名検証の後で発生します。そのため、悪意ある細工が行われた証明書に対してCAが署名し、本来ならば途中で失敗するはずの証明書チェーン検証が成功することにより、その後の処理が継続してしまう場合においてのみ、この問題が発生することに注意してください。攻撃者は、証明書中の電子メールアドレスに細工を施し、スタック上のメモリを4バイトオーバーフローさせることができます。
  • 電子メールアドレスの処理における可変長バイトのバッファオーバーフロー - CVE-2022-3786
    • X.509証明書の検証を行う際、証明書の名前のチェック時にバッファオーバーフローが発生する可能性があります。CVE-2022-3602と同様に、この問題は証明書チェーンの署名検証の後で発生します。そのため、悪意ある細工が行われた証明書に対してCAが署名し、本来ならば途中で失敗するはずの証明書チェーン検証が成功することにより、その後の処理が継続してしまう場合においてのみ、この問題が発生することに注意してください。攻撃者は、証明書中の電子メールアドレスに細工を施し、スタック上の「.」文字(10進数では"46")が格納された箇所を含む、任意のバイト数をオーバーフローさせることができます。

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • システムがサービス運用妨害(DoS)状態にされたり、遠隔からのコード実行が行われたりする - CVE-2022-3602
  • システムがサービス運用妨害(DoS)状態にされる - CVE-2022-3786

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性への対策版として次のバージョンをリリースしています。

  • OpenSSL 3.0.7
同時期にOpenSSL 1.1.1sがリリースされていますが、これは他の問題に対するバグ修正であり、本脆弱性に対する修正ではありません。

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
トレンドマイクロ株式会社 該当製品無し(調査中) 2022/11/21 トレンドマイクロ株式会社 の告知ページ
マイクロソフト 該当製品あり 2022/11/04 マイクロソフト の告知ページ
三菱電機株式会社 該当製品あり 2023/08/30 三菱電機株式会社 の告知ページ
日本電気株式会社 該当製品あり 2023/03/28
株式会社 スマート・ソリューション・テクノロジー 該当製品無し 2022/11/02
ベンダ リンク
OpenSSL Project OpenSSL Security Advisory [01 November 2022]
CVE-2022-3786 and CVE-2022-3602: X.509 Email Address Buffer Overflows

参考情報

  1. NCSC-NL / OpenSSL-2022 - GitHub
    2022 OpenSSL vulnerability - CVE-2022-3602
  2. Vulnerability Note VU#794340
    OpenSSL 3.0.0 to 3.0.6 decodes some punycode email addresses in X.509 certificates improperly

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告 JPCERT-AT-2022-0030
OpenSSLの脆弱性(CVE-2022-3602、CVE-2022-3786)に関する注意喚起
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2022/11/02
[関連文書] を更新しました
2022/11/04
[参考情報] を更新しました
2022/11/04
マイクロソフトのベンダステータスが更新されました
2022/11/22
トレンドマイクロ株式会社のベンダステータスが更新されました
2023/03/07
三菱電機株式会社のベンダステータスが更新されました
2023/03/28
日本電気株式会社のベンダステータスが更新されました
2023/09/01
三菱電機株式会社のベンダステータスが更新されました