1

オープンソースライブラリ「OpenSSL」の開発チームは11月1日、同ライブラリに脅威度「HIGH」の脆弱性が見つかったとして、修正版の「OpenSSL 3.0.7」を公開した。

OpenSSLは暗号通信プロトコル「SSL」や「TLS」を扱うためのプログラム。
今回見つかった脆弱性(CVE-2022-3786、CVE-2022-3602)は、デジタル証明書「X.509証明書」を検証する際に発生する恐れがある。
悪用されると、OpenSSLを使うシステムをクラッシュさせられる可能性がある他、環境によっては遠隔地から任意のコードを実行される恐れもある。
事前の告知では脅威度を「CRITICAL」としていたが、リモートコード実行の可能性が限定的になったため評価を下げた。
影響を受けるのはOpenSSL 3.0.0からOpenSSL 3.0.6まで。
修正版は公開済みで、開発チームは早急なアップグレードを推奨している。

OpenSSLに“脅威度HIGH”の脆弱性 リモートコード実行の可能性も 修正版は公開済み
https://news.yahoo.co.jp/articles/c7e0fcb93f88757383deafc65ffc28275c0f18be




2
3系だけだろ
そんなに普及してないのでは?

15
>>2
確かに主要デストリビューションだと2.0系な気がする

3
毎日ラーメンSSLくん

4
そんなこと言われてもわからんし(゜∀゜)

7
>>4
アブリやブラウザの通信の暗号化、ブラウザの証明から公開鍵暗号や秘密鍵のやり取りで送るのに使われている

5
つまりopenなsslにきじゃくせいがあったんだよ
つまりオープンでSSLな人は危ないんだよ

6
オープンススル

8
前にあったheartbleedってネーミングが格好良くて好きだった

9
修正したんだろ?
ならいいじゃん
はい、終わりおわりー

10
スルーやろ

11
サーバーのアップデートだからお前らには関係ない

12
最近は自前で証明書なんか用意しないし

13
よく発見できるなあ

こういうのって数学者なわけ?

23
>>13
ホワイトハッカーはいろいろ
趣味、研究機関、政府系、軍事系、犯罪グループ、、

14
OpenSSLは全部1.x系使ってるからいいや。3.x系使ってるなんて新しい物好きな奴くらいじゃろ。

16
ラズパイでopenvpn運用してるけどsslのバージョンわかんねえ

17
>>16
openssl version
で出るぞ

18
SSL自体の脆弱性なら超大問題なんだけどな
今回のOpenSSLの脆弱性だとシェルアクセス出来る状態じゃないと叩けないような気がする

19
written by monkeys

20
OpenDNSやGoogleの8.8.8..もあるけど警告でるね。Claudflareだとリスク警告なし。

21
信頼済みの証明書を読み込む過程でしか発生しない問題なのでこの脆弱性つつくのは相当ハードル高いって結論でてる

22
24
>>21
なるほど
こりゃ余程の条件が揃わないとアタックできないな
ありがとう