「OpenSSL」にセキュリティアップデート - 脆弱性の評価は下方修正

OpenSSLの開発チームは、協定世界時11月1日に事前予告どおりセキュリティアップデート「同3.0.7」をリリースし、複数の脆弱性に対処した。当初重要度は「クリティカル（Critical）」を予定していたが、「高（High）」へと下方修正されている。

今回明らかにされた脆弱性は、「X.509証明書」の検証処理を通じてバッファオーバーフローが生じるおそれがある「CVE-2022-3602」。細工された証明書を処理するとサービス拒否が生じたり、リモートよりコードを実行されるおそれがある。

重要度はもっとも高い「クリティカル」との触れ込みだったが、テストの結果や、多くのモダンなプラットフォームではスタックオーバーフローの保護機能など緩和策を備えていることを考慮し、開発チームでは重要度を「高（High）」と1段引き下げた。

また「CVE-2022-3602」とあわせて、同脆弱性の調査時に発見された重要度「高（High）」の脆弱性「CVE-2022-3786」についても解消した。レーティングは当初の予定どおりで、悪用によってリモートよりコードを実行されるおそれなどはないとしている。いずれも悪用は確認されていない。

開発チームは、重要度のレーティングを引き下げたが、重大な脆弱性であることには変わりないと説明。可能なかぎり早急に更新するよう利用者に呼びかけている。

あわせて「OpenSSL 1.1.1s」をリリースした。「同1.1.1」系についてはこれら脆弱性の影響は受けず、セキュリティ上の修正は含まれない「バグフィクス」と位置づけている。

（Security NEXT - 2022/11/02 ）ツイート