OpenSSLに複数の脆弱性 | ScanNetSecurity
2024.03.19(火)

OpenSSLに複数の脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は5月6日、OpenSSLにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は5月6日、OpenSSLにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

・CVE-2022-1292
OpenSSL 1.0.2zeより前のバージョン
OpenSSL 1.1.1oより前のバージョン
OpenSSL 3.0.3より前のバージョン

・CVE-2022-1343、CVE-2022-1434、CVE-2022-1473
OpenSSL 3.0.3より前のバージョン

 OpenSSLに存在する脆弱性と想定される影響は下記の通り。

・c_rehashスクリプトにおけるコマンドインジェクション(CVE-2022-1292)
一部のオペレーションシステムにて自動実行されるc_rehashスクリプトは、シェルのメタ文字を適切にサニタイズしない。
→攻撃者によって、c_rehashスクリプトの権限で任意のコマンドを実行される

・OCSP_basic_verifyにおける不適切な証明書検証(CVE-2022-1343)
OCSP_basic_verifyが、(初期設定とは異なる)フラグ「OCSP_NOCHECKS」が設定されている環境で、署名証明書検証に失敗した場合でも、検証成功の応答を返す。
→コマンドラインのOpenSSL「ocsp」アプリケーションで、ocsp応答の検証時に「-no_cert_checks」オプションが設定されている、またはOCSP_basic_verifyでフラグ「OCSP_NOCHECKS」を設定している場合に、検証が失敗した場合でも成功の応答となる

・RC4-MD5暗号スイートで使用されているMACキーが不正(CVE-2022-1434)
RC4-MD5暗号スイート(OpenSSL 3.0の初期状態では使用されない)のOpenSSL3.0実装は、AADデータをMACキーとして誤って使用するため、MACキーを簡単に予測できる。
→ man-in-the-middle攻撃によって、MAC整合性チェックが正しいと判断されるようにデータが書き換えられる

・証明書または鍵をデコードする際のリソースリーク(CVE-2022-1473)
証明書または鍵をデコードする際にハッシュテーブルを空にするために利用されるOPENSSL_LH_flush()関数には、削除されたハッシュテーブルエントリによって占有されていたメモリを再利用しないバグがあり、メモリ使用量が際限なく拡大する。
→メモリ使用量が際限なく拡大し、オペレーティングシステムによってプロセスが終了され、サービス運用妨害(DoS)状態にされる

 JVNでは、開発者が提供する情報をもとに、最新版へアップデートするよう呼びかけている。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. テレビ新潟放送網にサイバー攻撃、データが暗号化被害

    テレビ新潟放送網にサイバー攻撃、データが暗号化被害

  2. サイバー攻撃 はじまりはいつも OSINT ~ 日本ハッカー協会 杉浦氏講演

    サイバー攻撃 はじまりはいつも OSINT ~ 日本ハッカー協会 杉浦氏講演

  3. マルウェアが OpenAI の認証情報窃取、約 68 万 8,000 件をダークウェブ等で発見

    マルウェアが OpenAI の認証情報窃取、約 68 万 8,000 件をダークウェブ等で発見

  4. 理研計器の開発センターで放射性同位元素が所在不明に

    理研計器の開発センターで放射性同位元素が所在不明に

  5. 経済産業省 サイバーセキュリティ課 職員を名乗る自動音声電話に注意を呼びかけ

    経済産業省 サイバーセキュリティ課 職員を名乗る自動音声電話に注意を呼びかけ

  6. 愛知陸運にランサムウェア攻撃、不審な電話やメールに注意呼びかけ

    愛知陸運にランサムウェア攻撃、不審な電話やメールに注意呼びかけ

  7. NEC、陸自「多国間サイバー防護競技会(Cyber KONGO 2024)」を支援

    NEC、陸自「多国間サイバー防護競技会(Cyber KONGO 2024)」を支援

  8. 善意目的でスパム46万通、慈善団体が当局からお目玉

    善意目的でスパム46万通、慈善団体が当局からお目玉

  9. SKYSEA Client View に複数の脆弱性、ラック北原氏他 報告

    SKYSEA Client View に複数の脆弱性、ラック北原氏他 報告

  10. マイクロソフト社員名乗る第三者が指示、商工会の業務用 PC 2 台に遠隔操作ソフトウェアをインストール

    マイクロソフト社員名乗る第三者が指示、商工会の業務用 PC 2 台に遠隔操作ソフトウェアをインストール

ランキングをもっと見る