OpenSSLに複数の脆弱性 | ScanNetSecurity
2022.05.17(火)

OpenSSLに複数の脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は5月6日、OpenSSLにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は5月6日、OpenSSLにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

・CVE-2022-1292
OpenSSL 1.0.2zeより前のバージョン
OpenSSL 1.1.1oより前のバージョン
OpenSSL 3.0.3より前のバージョン

・CVE-2022-1343、CVE-2022-1434、CVE-2022-1473
OpenSSL 3.0.3より前のバージョン

 OpenSSLに存在する脆弱性と想定される影響は下記の通り。

・c_rehashスクリプトにおけるコマンドインジェクション(CVE-2022-1292)
一部のオペレーションシステムにて自動実行されるc_rehashスクリプトは、シェルのメタ文字を適切にサニタイズしない。
→攻撃者によって、c_rehashスクリプトの権限で任意のコマンドを実行される

・OCSP_basic_verifyにおける不適切な証明書検証(CVE-2022-1343)
OCSP_basic_verifyが、(初期設定とは異なる)フラグ「OCSP_NOCHECKS」が設定されている環境で、署名証明書検証に失敗した場合でも、検証成功の応答を返す。
→コマンドラインのOpenSSL「ocsp」アプリケーションで、ocsp応答の検証時に「-no_cert_checks」オプションが設定されている、またはOCSP_basic_verifyでフラグ「OCSP_NOCHECKS」を設定している場合に、検証が失敗した場合でも成功の応答となる

・RC4-MD5暗号スイートで使用されているMACキーが不正(CVE-2022-1434)
RC4-MD5暗号スイート(OpenSSL 3.0の初期状態では使用されない)のOpenSSL3.0実装は、AADデータをMACキーとして誤って使用するため、MACキーを簡単に予測できる。
→ man-in-the-middle攻撃によって、MAC整合性チェックが正しいと判断されるようにデータが書き換えられる

・証明書または鍵をデコードする際のリソースリーク(CVE-2022-1473)
証明書または鍵をデコードする際にハッシュテーブルを空にするために利用されるOPENSSL_LH_flush()関数には、削除されたハッシュテーブルエントリによって占有されていたメモリを再利用しないバグがあり、メモリ使用量が際限なく拡大する。
→メモリ使用量が際限なく拡大し、オペレーティングシステムによってプロセスが終了され、サービス運用妨害(DoS)状態にされる

 JVNでは、開発者が提供する情報をもとに、最新版へアップデートするよう呼びかけている。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. しまむらのネットワークに不正アクセス、犯罪者集団の増長を招くことを考慮し情報開示は最低限に

    しまむらのネットワークに不正アクセス、犯罪者集団の増長を招くことを考慮し情報開示は最低限に

  2. TwoFive メールセキュリティ Blog 第5回「短縮URLとダイナミックDNSは使わない方がいい理由」

    TwoFive メールセキュリティ Blog 第5回「短縮URLとダイナミックDNSは使わない方がいい理由」

  3. 患者情報管理システムがアクセス可能な状態に、外部からの指摘で発覚

    患者情報管理システムがアクセス可能な状態に、外部からの指摘で発覚

  4. Emotet感染でメールアドレス95,393件が流出の可能性、新たにドメインも取得

    Emotet感染でメールアドレス95,393件が流出の可能性、新たにドメインも取得

  5. ダイカスト製品を製造するリョービの海外グループ会社にランサムウェア攻撃、システム障害発生

    ダイカスト製品を製造するリョービの海外グループ会社にランサムウェア攻撃、システム障害発生

  6. 世界最大の歯科医師会もセキュリティは頭痛のタネ ~ ランサムウェアの脅威と Gmail の問い合わせ先

    世界最大の歯科医師会もセキュリティは頭痛のタネ ~ ランサムウェアの脅威と Gmail の問い合わせ先

  7. OpenSSLに複数の脆弱性

    OpenSSLに複数の脆弱性

  8. 警視庁が「ランサムウェア」の脅威と対策について解説、被害件数は一昨年の4倍増に

    警視庁が「ランサムウェア」の脅威と対策について解説、被害件数は一昨年の4倍増に

  9. トレンドマイクロ「国内標的型攻撃分析レポート2022年版」公開、4つのグループの特徴を整理

    トレンドマイクロ「国内標的型攻撃分析レポート2022年版」公開、4つのグループの特徴を整理

  10. さくらインターネットを騙るフィッシングメールに注意喚起

    さくらインターネットを騙るフィッシングメールに注意喚起

ランキングをもっと見る