OpenSSL 3.0.7の脆弱性についてまとめます。サマリ- 事前告知の"Critical"ではなく、"HIGH"になった- RCEではなく、Crashとなる可能性が高い- HeartBleedほど広く悪用される危険性は低いと思われる- RHEL, Debianはnot affectedのようだ(要自身のサーバでの確認)- 緩和策はなさそう

FutureVuls-SSVC搭載の脆弱性管理クラウド @futurevuls

OpenSSL 3.0.7の脆弱性についてまとめます。 サマリ - 事前告知の"Critical"ではなく、"HIGH"になった - RCEではなく、Crashとなる可能性が高い - HeartBleedほど広く悪用される危険性は低いと思われる - RHEL, Debianはnot affectedのようだ(要自身のサーバでの確認) - 緩和策はなさそう

FutureVuls-SSVC搭載の脆弱性管理クラウド @futurevuls

影響(現時点の調査) RHEL(not affected) - access.redhat.com/security/cve/c… - access.redhat.com/security/cve/c… Ubuntu(22.04LTS, 22.10: affected) - ubuntu.com/security/notic… Debian(buster/bullseye release: not affected) - security-tracker.debian.org/tracker/CVE-20… - security-tracker.debian.org/tracker/CVE-20…

FutureVuls-SSVC搭載の脆弱性管理クラウド @futurevuls

Node.js(affected) - nodejs.org/en/blog/vulner…

FutureVuls-SSVC搭載の脆弱性管理クラウド @futurevuls

詳細 当初RCEが想定されていたが、Linuxではbuffer overflow protectionなどで軽減されることが確認され、RCEではないと判定された為CriticalからHighに変更になった。 依然としてDoS(クラッシュ)の可能性はあるので注意は必要。

FutureVuls-SSVC搭載の脆弱性管理クラウド @futurevuls

悪用の為には、X.509 証明書内の悪意を持って作成された電子メール アドレスを検証する必要がある。 Windows用のクラッシュを起こすPoCはある。Linuxは悪用できない可能性はある。 (アップストリームの)OpenSSL3.0.0-3.0.6に影響があり、1.1.1系は影響を受けない。

FutureVuls-SSVC搭載の脆弱性管理クラウド @futurevuls

X.509 証明書検証の名前制約チェック機能におけるバッファオーバーランの脆弱性であるため、バッファオーバーランを取りがするように細工されたメールアドレスが証明書に含まれ、それを処理することで発生する。その為、広範囲な悪用の可能性は低いと考えられる。（しかし適用をした方が良いでしょう）

FutureVuls-SSVC搭載の脆弱性管理クラウド @futurevuls

以上から、当初想定より影響は低いのではないかと考えられます。特にLinuxの場合はコンパイラオプション等で(RCE影響が)軽減されているようです。 また、IoTなどの機器の場合は広報がされないだけで影響を受ける可能性があります。SBOMなどがあれば確認しやすいでしょう。(h)

FutureVuls-SSVC搭載の脆弱性管理クラウド @futurevuls

ref openssl.org mta.openssl.org/pipermail/open… openssl.org/news/secadv/20… openssl.org/blog/blog/2022… Mitre/NVD (RESERVED/NotFound at 11/02 02:45) nvd.nist.gov/vuln/detail/CV… cve.mitre.org/cgi-bin/cvenam… nvd.nist.gov/vuln/detail/CV… cve.mitre.org/cgi-bin/cvenam…

FutureVuls-SSVC搭載の脆弱性管理クラウド @futurevuls

RHEL access.redhat.com/security/cve/c… (Score:7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H) access.redhat.com/security/cve/c… (Score:8.8 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H) Ubuntu ubuntu.com/security/notic… (libssl3-3.0.5-2ubuntu2(Ubuntu22.10), libssl3-3.0.2-0ubuntu1.7(Ubuntu22.04))

FutureVuls-SSVC搭載の脆弱性管理クラウド @futurevuls

Debian security-tracker.debian.org/tracker/CVE-20… security-tracker.debian.org/tracker/CVE-20… (buster/bullseye release: not affected,unstable: unfixed) Other news/release securitylabs.datadoghq.com/articles/opens… tenable.com/blog/cve-2022-… tenable.com/blog/cve-2022-… ...

FutureVuls-SSVC搭載の脆弱性管理クラウド @futurevuls

[補足] Linuxは各種保護で影響が低そう、という話は「前提が分かっている」場合にのみ有効なので、そこが不明な場合は"保護がされないかもしれない"前提として(RCEまで行く可能性がある)として対応したほうが良いと考えます。ちゃんとコンパイルオプション設定されているのか、等の確認取れますか？

FutureVuls-SSVC搭載の脆弱性管理クラウド @futurevuls

そこを考えると、今すぐ対応が必要 ではないけど なるはやで対応が必要、と考えます(なるはや、の定義は組織において異なる前提)。 対象システム次第ですが、SSVC的にはout-of-cycle～scheduledに収まる気はします。(h)

FutureVuls-SSVC搭載の脆弱性管理クラウド @futurevuls

あとは、利用しているサードパーティーベンダの製品などは、更新があるかをここ数日間確認したほうが良いでしょう。node.jsのように、今の時点から少し後でリリースされる、というものもあるはずです(libsslを自前で持つものなど)。構築ベンダがあれば、そこに確認するのが良いでしょう。

FutureVuls-SSVC搭載の脆弱性管理クラウド @futurevuls

National Cyber Security Centrum(NCSC-NL:オランダ)が、OpenSSLの影響を受ける製品リストをまとめてるので、これを参考にするとよさそうです。 github.com/NCSC-NL/OpenSS…

FutureVuls-SSVC搭載の脆弱性管理クラウド @futurevuls

[追加情報] RHEL9は影響を受ける模様です。 "Currently, there is no mitigation available for this flaw."と明示されているので、対応はupdateとなります。 access.redhat.com/security/vulne…