コリン・ティエリー
OpenSSL プロジェクトは最近、通信チャネルと HTTPS 接続の暗号化に使用されるオープンソースの暗号ライブラリに重大なセキュリティ上の欠陥 XNUMX つにパッチを適用しました。
これらの脆弱性 (CVE-2022-3602およびCVE-2022-3786) OpenSSL バージョン 3.0.0 以降に影響し、OpenSSL 3.0.7 で対処されました。
CVE-2022-3602 は、クラッシュまたはリモート コード実行 (RCE) を引き起こすために悪用される可能性があります。一方、CVE-2022-3786 は、悪意のある電子メール アドレスを介して攻撃者によって利用され、サービス拒否状態を引き起こす可能性があります。
OpenSSL チームは、「これらの問題は依然として深刻な脆弱性であると考えており、影響を受けるユーザーはできるだけ早くアップグレードすることをお勧めします」と述べています。 ステートメント 火曜日に。
「リモートでコードが実行される可能性のある有効なエクスプロイトは認識しておらず、この投稿のリリース時点で、これらの問題が悪用されたという証拠はありません」と付け加えました。
OpenSSL によると セキュリティポリシー、企業(のような ExpressVPN) と IT 管理者は 警告 先週、環境の脆弱性を検索し、OpenSSL 3.0.7 がリリースされたらパッチを当てる準備をしました。
「OpenSSL 3.0+ をどこで使用しているか、どのように使用しているかを事前に知っていれば、アドバイザリが来たときに、影響を受けているかどうか、またはどのように影響を受けているか、何にパッチを適用する必要があるかを迅速に判断できます。」 と OpenSSL の創設者である Mark J Cox が Twitter の投稿で述べています。
OpenSSL は、Transport Layer Security (TLS) サーバーを運用する管理者が、パッチが適用されるまで TLS クライアント認証を無効にすることを要求する緩和策も提供しました。
CVE-2022-3602 が緊急から高に格下げされ、OpenSSL 3.0 以降のインスタンスにのみ影響を与えることを考えると、脆弱性の影響は当初考えられていたよりもはるかに限定的でした。
クラウド セキュリティ会社ごと ウィズアイオ、主要なクラウド環境 (AWS、GCP、Azure、OCI、Alibaba Cloud など) での展開を分析した結果、すべての OpenSSL インスタンスの 1.5% のみがセキュリティ上の欠陥の影響を受けることがわかりました。
オランダの国家サイバー セキュリティ センターも、 リスト OpenSSL の脆弱性の影響を受けないことが確認されているソフトウェア製品の割合。