OpenSSL 3.0.4 のリモートメモリ破壊の脆弱性:悪用の形跡はないがパッチ対応はこれから

OpenSSL to Release Security Patch for Remote Memory Corruption Vulnerability

2022/06/28 TheHackerNews — OpenSSL ライブラリの最新バージョン存在する脆弱性による、一部のシステムではリモートメモリ破壊が生じることが判明した。この問題は、2022年6月21日にリリースされた OpenSSL バージョン 3.0.4 で確認されており、AVX-512 命令セットを搭載した x64 システムに影響を及ぼすという。ただし、OpenSSL 1.1.1 および、OpenSSL フォークである BoringSSL と LibreSSL は影響を受けない。

このバグを 5月末に報告したセキュリティ研究者の Guido Vranken は「攻撃者によって些細なきっかけで、悪用に至る可能性がある」と述べている。この欠点は修正されたが、現時点ではパッチは提供されていない。


OpenSSL は、TLS (Transport Layer Security) プロトコルのオープンソース実装を提供する、人気の暗号ライブラリである。AVX (Advanced Vector Extensions) とは、Intel および AMD のマイクロ・プロセッサ用 x86 命令セット・アーキテクチャの拡張機能である。

OpenSSL Foundation の Tomáš Mráz は、GitHub のイシュー・スレッドで、「私はこれがセキュリティ上の脆弱性だとは思わない。AVX-512 命令セットが使用される使マシン上で、バージョン 3.0.4 が使えなくなるバグだ」と述べている。

その一方で、Alex Gaynor は、「セキュリティ脆弱性でないというのが、よく分からない。これはヒープバッファ・オーバーフローであり、RSA 署名などにより引き起こされ、リモート・コンテキスト (たとえば TLS ハンドシェイク) で簡単に発生する可能性がありる」と指摘している。

西安大学の大学院生である Xi Ruoyao は、「私は、バグが悪用できる (少なくとも悪用される可能性がある) ことを示す、何らかの証拠がない限り、このバグを [セキュリティ脆弱性] とマークすべきではないと思う。しかし、問題の深刻さを考えると、バージョン 3.0.5 を可能な限り早急にリリースする必要がある」としている。

この OpenSSL の脆弱性ですが、CVE が明記されていません。ただし、同じく The Hacker News が、その後にリリースした記事「OpenSSL Releases Patch for High-Severity Bug that Could Lead to RCE Attacks」を見ると、CVE-2022-2274 のことだと推測できます。お隣のキュレーション・チームにも聞いてみましたが、7月7日付でレポートしているそうです。

%d bloggers like this: