OpenSSL の深刻な 脆弱性 CVE-2022-2274 が FIX:RCE にいたる恐れがある

OpenSSL Releases Patch for High-Severity Bug that Could Lead to RCE Attacks

2022/07/06 TheHackerNews — OpenSSL プロジェクトのメンテナたちは、特定のシナリオでリモートコード実行につながる可能性のある、暗号ライブラリに存在する極めて深刻なバグに対処するパッチを公開した。この脆弱性には、識別子 CVE-2022-2274 が割り当てられており、2022年6月21日にリリースされた OpenSSL Ver 3.0.4 で取り込まれてしまった、RSA 秘密鍵操作によるヒープメモリ破壊に起因すると説明されている。

1998年にリリースされた OpenSSL は、SSL (Secure Sockets Layer) および TLS (Transport Layer Security) プロトコルの実装を、オープンソースとして提供する汎用暗号ライブラリである。秘密鍵の生成/証明書署名要求 (CSR) の作成/SSL/TLS証明書のインストールなどを行うことが可能である。

同アドバイザリは、「X86_64 アーキテクチャの AVX512IFMA 命令をサポートするマシン上で動作する、2048 Bit RSA 秘密鍵を使用する SSL/TLS サーバなどが、この問題の影響を受ける」と述べている。

この、RSA 実装における深刻なバグと呼ばれる脆弱性は、計算中にメモリ破壊を引き起こすため、その計算を行うマシン上で、攻撃者がリモートコード実行を引き起こす武器となる可能性があると、メンテナたちは述べている。

西安大学の博士課程にある Xi Ruoyao は、2022年6月22日に OpenSSL に対して、この欠陥を報告したとされている。このライブラリのユーザーは、潜在的な脅威を軽減するために、OpenSSL Ver 3.0.5 にアップグレードすることが推奨されている。

6月28日にポストした、「OpenSSL 3.0.4 のリモートメモリ破壊の脆弱性:悪用の形跡はないがパッチ対応はこれから」の続編に当たる記事ですね。OpenSSL Ver 3.0.4 で取り込まれてしまった脆弱性 CVE-2022-2274 が、この Ver 3.0.5 で FIX しました。おそらく、この後には、さまざまなプロダクトで採用されている OpenSSL が、次々とアップデートされていくはずです。と、お隣のキュレーション・チームが、悲しそうな目で、コメントしていました。

%d bloggers like this: