OpenSSLの脆弱性情報(High: CVE-2022-2274, Moderate: CVE-2022-2097)と新バージョン(3.0.5, 1.1.1q)

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。

07/05/2022 (JST) に予告通りOpenSSLの脆弱性情報(High: CVE-2022-2274, Moderate: CVE-2022-2097)と新バージョン(3.0.5, 1.1.1q)が公開されています。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。



[過去の関連リンク(最新10件)]

OpenSSLの脆弱性情報(Moderate: CVE-2022-2068)と新バージョン(3.0.4, 1.1.1p, 1.0.2zf))

OpenSSLの脆弱性情報(Moderate: CVE-2022-1292, CVE-2022-1343, Low: CVE-2022-1434, CVE-2022-1473 )と新バージョン(3.0.3, 1.1.1o, 1.0.2ze)

OpenSSLの脆弱性情報(High: CVE-2022-0778)と新バージョン(3.0.2, 1.1.1n, 1.0.2zd)

MIPS上のOpenSSLの脆弱性情報(Moderate: CVE-2021-4160)

OpenSSLの脆弱性情報(Moderate: CVE-2021-4044)と新バージョン(OpenSSL 3.0.1)

OpenSSLの脆弱性情報(Moderate: CVE-2021-3711, Moderate: CVE-2021-3712 )と新バージョン(OpenSSL 1.1.1l)

OpenSSLの脆弱性情報(Moderate: CVE-2021-23841, Low: CVE-2021-23839, CVE-2021-3712)

OpenSSLの脆弱性情報(Moderate: CVE-2020-1971)

OpenSSLの脆弱性情報(Moderate: CVE-2020-1967)


Priority

CVE番号 影響するバージョン Priority CVSS Score / CVSS Vector
CVE-2022-2274 < OpenSSL 3.0.4

Vendor: High

CVE-2022-2097 < OpenSSL 3.0.4, 1.1.1p

Vendor: Moderate

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2274
    • リモートコード実行の可能性
    • 重要度 - High
    • 対象 - OpenSSL 3.0.4
    • OpenSSL 3.0.4リリースにより、AVX512IFMAをサポートしているX86_64CPUでのRSA実装に重大なバグが混入しました。この問題により、2048ビットの秘密鍵がRSA実装で不正なものになり計算中にメモリ破壊が発生する可能性があります。このメモリ破壊により、攻撃者はリモートマシン上でコード実行ができる可能性があります。SSL/TLSサーバやその他の2048ビットRSA秘密鍵で、AVX512IFMをX86_64アーキテクチャでサポートしている場合にはこの問題の影響を受ける可能性があります。
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2097
    • リモートコード実行の可能性
    • 重要度 - Moderate
    • 対象 - OpenSSL 3.0.0-3.0.4, 1.1.1-1.1.1p
    • 32ビットのX86プラットフォームでAES-NIに特化した実装では、いくつか特定の条件下で完全に暗号化されないことがわかりました。これにより、書き込まれなかったメモリにすでに存在していた16バイトのデータが明らかになる可能性があります。暗号化の特殊なケースでは、16バイトの平文が表示されます。OpenSSLはTLSおよびDTLSのOCBベースの暗号スイートをサポートしていないため、どちらも影響を受けません。


対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteKatello、Spacewalk等を使うと管理が便利でしょう。

また、サービスの再起動が発生する場合には、peacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。

日々のメモを更新しています。

セキュリティ関係ニュースを更新しています。個別で情報出せるようになる前の簡単な情報・リンクなんかも載せていきます。

セミナー情報1

2022/06/24にこちらのセミナーで「最近の状況を鑑みた脆弱性対策の重要性について」として2022-Q1の脆弱性の情報を入れながら、脆弱性対策についてお話します。ご興味がありましたらぜひご参加下さい。

前へ

GnuPGの脆弱性情報(CVE-2022-34903)

次へ

Linux Kernelの脆弱性( CVE-2022-34918 )