パスワードを忘れた? アカウント作成
Close
15840370 story
アナウンス

OpenSSLに重大な脆弱性(追記アリ) 19

ストーリー by nagazou
Highに変更 部門より
OpenSSLに最も重大な問題である深刻度「緊急」(CRITICAL)の脆弱性が発見された(「High」に変更された。追記参照)。今回発見された脆弱性の詳細は現時点では公開されていないが、OpenSSLプロジェクトが対応した緊急脆弱性としては、2014年に起きたHeartbleed問題「CVE-2014-0160」に続くものだとの指摘もあるようだ。リリース後には迅速なアップデートの適用が求められるとしている。これに対応するため、OpenSSLプロジェクトは日本時間の2022年11月1日22時~2日4時の間にセキュリティアップデートバージョン「OpenSSL 3.0.7」を公開する。なおバージョン1系は今回発見された脆弱性の影響を受けないとのこと(Forthcoming OpenSSL ReleasesGIGAZINESecurityAffairsTECH+)。

[追記]
1日にOpenSSL 3.0.7が公開された。修正された脆弱性はCVE-2022-3602CVE-2022-3786の二つ。脆弱性の深刻度はCRITICALとなっていたが、悪用は比較的困難とのことから深刻度の評価は両方とも「High」に変更されたとのこと(OpenSSL ブログ窓の杜)。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

OpenSSLに重大な脆弱性(追記アリ) More

  • その後レベル引き下げ (スコア:3, 参考になる)

    by Anonymous Coward on 2022年11月02日 13時24分 (#4353866)

    まともなメモリ保護してりゃ問題ねぇやとしてCRITICALからHIGHになってる

    https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/ [openssl.org]

    • 深刻度評価が引き下げられてますね.タレコミも訂正すべきだと思います

      -----

      2022年11月2日15:00 追記

      当初発表は深刻度CRITICALの判定であったが,追加検証でOSのスタックオーバーフロー保護機能があるかぎり悪用は困難という結論になり,深刻度はHIGHに引き下げられた.

      ----- こんな感じ?

      シェア
      親コメント

  • Severity: High (スコア:1)

    by Anonymous Coward on 2022年11月02日 13時22分 (#4353863)

    重要度が引き下げられた後からこの内容はちょっと・・・。 https://mta.openssl.org/pipermail/openssl-announce/2022-November/000243.html

  • Openなだけに (スコア:0)

    by Anonymous Coward on 2022年11月02日 13時16分 (#4353857)

    CRITICALにOpen!

  • 大変だ (スコア:0)

    by Anonymous Coward on 2022年11月02日 13時18分 (#4353858)

    早くバージョン1に更新しないと

  • Severity: High (スコア:0)

    by Anonymous Coward on 2022年11月02日 13時22分 (#4353864)

    重要度が引き下げられた後からこの内容はちょっと・・・。 https://mta.openssl.org/pipermail/openssl-announce/2022-November/000243.html

    • Re: (スコア:0)

      by Anonymous Coward

      なぜ2件飛ぶし・・・

      • Re: (スコア:0)

        by Anonymous Coward

        test.srad.jpは二重投稿チェックしてないから... サニタイズもアレだし。

  • 悪用できるのは (スコア:0)

    by Anonymous Coward on 2022年11月02日 14時13分 (#4353901)

    証明書の名前制約の処理時に脆弱性が悪用可能になるとのこと。
    クライアント側では防ぎようがないが、証明書によるクライアント認証をしているサーバー側で、(あまりありそうではないが)もしクライアント認証を外せるのであれば、クライアント認証をはずせば悪用はできない。
    名前制約の処理は証明書の署名検証の後なので、もし署名を検証していないなら、署名を検証すれば、改ざんした証明書での攻撃は防げる。
    欠陥は国際化ドメーン配下の電子メール・アドレスなので、(これもあまりありそうではないが)そういうアドレスの証明書への格納をしない証明機関だともし信頼できるなら、署名を検証すればという前提で、心配は無用だろう。

  • 即適用したくない勢 (スコア:0)

    by Anonymous Coward on 2022年11月02日 14時48分 (#4353933)

    10月11日の3.0.6(と1.1.1r)を即適用したら盛大にバグってて12日に撤回されて
    戻し作業する羽目になった人は「次は様子見」と考えそうね

  • 邪悪なM$製品は危険(笑) (スコア:0)

    by Anonymous Coward on 2022年11月02日 15時11分 (#4353948)

    OSSなら安心(爆笑)

  • LibreSSL (スコア:0)

    by Anonymous Coward on 2022年11月02日 15時34分 (#4353973)

    LibreSSLにないなら、OpenSSLが相変わらずってだけかな?

    • Re: (スコア:0)

      by Anonymous Coward

      秘伝のタレ状態な奴あるんでしょうね…

  • 打ち消し線の引き方 (スコア:0)

    by Anonymous Coward on 2022年11月02日 20時12分 (#4354177)

    そこが無くても文章がおかしくならないように引く、
    っていうのは実は学校では教えないんですかね。
    括弧の使い方もそうだけど。

    • Re: (スコア:0)

      by Anonymous Coward

      低学歴なんだろ

    • Re: (スコア:0)

      by Anonymous Coward

      >そこが無くても文章がおかしくならないように引く、
      のが正しいとする根拠がどこに由来するかによるのでは?

      • Re: (スコア:0)

        by Anonymous Coward

        打ち消し線で打ち消した箇所は普通もう読めない、ってことに根拠いる?

        • Re: (スコア:0)

          by Anonymous Coward

          その論理なら「学校で教える必要ある?」になるかと。

    • Re: (スコア:0)

      by Anonymous Coward

      srad編集は本業じゃないだろうし、わかれば十分

      そもそもsrad運営は黒字だのだろうか

typodupeerror

日本発のオープンソースソフトウェアは42件 -- ある官僚