- tak_narita
- 1538
- 1
- 1
- 0
#vuls クラウド版 / 「米国政府推奨の対応優先度判断フレームワーク SSVC」搭載の「FutureVuls」の公式アカウント。 オンプレ/クラウド/閉域網/Windows/Linux/コンテナ/ライブラリ/ミドルウェア/NW機器/商用製品/WordPress / LP: vuls.biz
OpenSSL 3.0.7の脆弱性についてまとめます。 サマリ - 事前告知の"Critical"ではなく、"HIGH"になった - RCEではなく、Crashとなる可能性が高い - HeartBleedほど広く悪用される危険性は低いと思われる - RHEL, Debianはnot affectedのようだ(要自身のサーバでの確認) - 緩和策はなさそう
2022-11-02 03:54:50影響(現時点の調査) RHEL(not affected) - access.redhat.com/security/cve/c… - access.redhat.com/security/cve/c… Ubuntu(22.04LTS, 22.10: affected) - ubuntu.com/security/notic… Debian(buster/bullseye release: not affected) - security-tracker.debian.org/tracker/CVE-20… - security-tracker.debian.org/tracker/CVE-20…
2022-11-02 03:54:51Node.js(affected) - nodejs.org/en/blog/vulner…
2022-11-02 03:54:51詳細 当初RCEが想定されていたが、Linuxではbuffer overflow protectionなどで軽減されることが確認され、RCEではないと判定された為CriticalからHighに変更になった。 依然としてDoS(クラッシュ)の可能性はあるので注意は必要。
2022-11-02 03:54:52悪用の為には、X.509 証明書内の悪意を持って作成された電子メール アドレスを検証する必要がある。 Windows用のクラッシュを起こすPoCはある。Linuxは悪用できない可能性はある。 (アップストリームの)OpenSSL3.0.0-3.0.6に影響があり、1.1.1系は影響を受けない。
2022-11-02 03:54:52X.509 証明書検証の名前制約チェック機能におけるバッファオーバーランの脆弱性であるため、バッファオーバーランを取りがするように細工されたメールアドレスが証明書に含まれ、それを処理することで発生する。その為、広範囲な悪用の可能性は低いと考えられる。(しかし適用をした方が良いでしょう)
2022-11-02 03:54:53以上から、当初想定より影響は低いのではないかと考えられます。特にLinuxの場合はコンパイラオプション等で(RCE影響が)軽減されているようです。 また、IoTなどの機器の場合は広報がされないだけで影響を受ける可能性があります。SBOMなどがあれば確認しやすいでしょう。(h)
2022-11-02 04:02:37ref openssl.org mta.openssl.org/pipermail/open… openssl.org/news/secadv/20… openssl.org/blog/blog/2022… Mitre/NVD (RESERVED/NotFound at 11/02 02:45) nvd.nist.gov/vuln/detail/CV… cve.mitre.org/cgi-bin/cvenam… nvd.nist.gov/vuln/detail/CV… cve.mitre.org/cgi-bin/cvenam…
2022-11-02 04:02:37RHEL access.redhat.com/security/cve/c… (Score:7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H) access.redhat.com/security/cve/c… (Score:8.8 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H) Ubuntu ubuntu.com/security/notic… (libssl3-3.0.5-2ubuntu2(Ubuntu22.10), libssl3-3.0.2-0ubuntu1.7(Ubuntu22.04))
2022-11-02 04:02:38Debian security-tracker.debian.org/tracker/CVE-20… security-tracker.debian.org/tracker/CVE-20… (buster/bullseye release: not affected,unstable: unfixed) Other news/release securitylabs.datadoghq.com/articles/opens… tenable.com/blog/cve-2022-… tenable.com/blog/cve-2022-… ...
2022-11-02 04:02:38[補足] Linuxは各種保護で影響が低そう、という話は「前提が分かっている」場合にのみ有効なので、そこが不明な場合は"保護がされないかもしれない"前提として(RCEまで行く可能性がある)として対応したほうが良いと考えます。ちゃんとコンパイルオプション設定されているのか、等の確認取れますか?
2022-11-02 04:19:42そこを考えると、今すぐ対応が必要 ではないけど なるはやで対応が必要、と考えます(なるはや、の定義は組織において異なる前提)。 対象システム次第ですが、SSVC的にはout-of-cycle~scheduledに収まる気はします。(h)
2022-11-02 04:19:42あとは、利用しているサードパーティーベンダの製品などは、更新があるかをここ数日間確認したほうが良いでしょう。node.jsのように、今の時点から少し後でリリースされる、というものもあるはずです(libsslを自前で持つものなど)。構築ベンダがあれば、そこに確認するのが良いでしょう。
2022-11-02 04:25:36National Cyber Security Centrum(NCSC-NL:オランダ)が、OpenSSLの影響を受ける製品リストをまとめてるので、これを参考にするとよさそうです。 github.com/NCSC-NL/OpenSS…
2022-11-02 08:50:47[追加情報] RHEL9は影響を受ける模様です。 "Currently, there is no mitigation available for this flaw."と明示されているので、対応はupdateとなります。 access.redhat.com/security/vulne…
2022-11-02 08:54:10