OpenSSLの脆弱性情報(High: CVE-2022-2274, Moderate: CVE-2022-2097)と新バージョン(3.0.5, 1.1.1q)

[過去の関連リンク(最新10件)]

OpenSSLの脆弱性情報(Moderate: CVE-2022-2068)と新バージョン(3.0.4, 1.1.1p, 1.0.2zf))

OpenSSLの脆弱性情報(Moderate: CVE-2022-1292, CVE-2022-1343, Low: CVE-2022-1434, CVE-2022-1473 )と新バージョン(3.0.3, 1.1.1o, 1.0.2ze)

OpenSSLの脆弱性情報(High: CVE-2022-0778)と新バージョン(3.0.2, 1.1.1n, 1.0.2zd)

MIPS上のOpenSSLの脆弱性情報(Moderate: CVE-2021-4160)

OpenSSLの脆弱性情報(Moderate: CVE-2021-4044)と新バージョン(OpenSSL 3.0.1)

OpenSSLの脆弱性情報(Moderate: CVE-2021-3711, Moderate: CVE-2021-3712 )と新バージョン（OpenSSL 1.1.1l)

OpenSSLの脆弱性情報(Moderate: CVE-2021-23841, Low: CVE-2021-23839, CVE-2021-3712)

OpenSSLの脆弱性情報(Moderate: CVE-2020-1971)

OpenSSLの脆弱性情報(Moderate: CVE-2020-1967)

一次情報源

https://www.openssl.org/news/vulnerabilities.html

Priority

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2274
  • リモートコード実行の可能性
  • 重要度 – High
  • 対象 – OpenSSL 3.0.4
  • OpenSSL 3.0.4リリースにより、AVX512IFMAをサポートしているX86_64CPUでのRSA実装に重大なバグが混入しました。この問題により、2048ビットの秘密鍵がRSA実装で不正なものになり計算中にメモリ破壊が発生する可能性があります。このメモリ破壊により、攻撃者はリモートマシン上でコード実行ができる可能性があります。SSL/TLSサーバやその他の2048ビットRSA秘密鍵で、AVX512IFMをX86_64アーキテクチャでサポートしている場合にはこの問題の影響を受ける可能性があります。
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2097
  • リモートコード実行の可能性
  • 重要度 – Moderate
  • 対象 – OpenSSL 3.0.0-3.0.4, 1.1.1-1.1.1p
  • 32ビットのX86プラットフォームでAES-NIに特化した実装では、いくつか特定の条件下で完全に暗号化されないことがわかりました。これにより、書き込まれなかったメモリにすでに存在していた16バイトのデータが明らかになる可能性があります。暗号化の特殊なケースでは、16バイトの平文が表示されます。OpenSSLはTLSおよびDTLSのOCBベースの暗号スイートをサポートしていないため、どちらも影響を受けません。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

• Debian

  https://security-tracker.debian.org/tracker/CVE-2022-2274

  https://security-tracker.debian.org/tracker/CVE-2022-2097

• Red Hat Enterprise Linux/CentOS

  https://access.redhat.com/security/cve/CVE-2022-2274

  https://access.redhat.com/security/cve/CVE-2022-2097

• Ubuntu

  https://ubuntu.com/security/CVE-2022-2274

  https://ubuntu.com/security/CVE-2022-2097

• SUSE/openSUSE

  https://www.suse.com/security/cve/CVE-2022-2274.html

  https://www.suse.com/security/cve/CVE-2022-2097.html

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteやKatello、Spacewalk等を使うと管理が便利でしょう。

また、サービスの再起動が発生する場合には、peacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。

[参考]

https://www.openssl.org/news/vulnerabilities.html

日々のメモを更新しています。

セキュリティ関係ニュースを更新しています。個別で情報出せるようになる前の簡単な情報・リンクなんかも載せていきます。

セミナー情報1

2022/06/24にこちらのセミナーで「最近の状況を鑑みた脆弱性対策の重要性について」として2022-Q1の脆弱性の情報を入れながら、脆弱性対策についてお話します。ご興味がありましたらぜひご参加下さい。