malware-log.hatenablog.com
security-tools.hatenablog.com
【目次】
概要
【図表】
一般的なCSPにおける脆弱なOpenSSLインスタンス(Wiz.io)
出典: https://www.bleepingcomputer.com/news/security/openssl-fixes-two-high-severity-vulnerabilities-what-you-need-to-know/
【概要】
| 日 |
CVE番号 |
NVD |
CVSS v3 |
CWE |
脆弱性 |
備考 |
|---|---|---|---|---|---|---|
| 2022/11/01 | CVE-2022-3602 | NVD | 9.8(NVD) | CWE-120 | バッファオーバーフロー | |
| 2022/11/01 | CVE-2022-3786 | NVD | 7.5(NVD) | CWE-120 | バッファオーバーフロー |
| 項目 | 内容 |
|---|---|
| 脆弱なバージョン | OpenSSL 3.0.0 ~ OpenSSL 3.0.6 |
| 安全なバージョン | OpenSSL 3.0.7 |
【最新情報】
◆OpenSSLにサービス運用妨害(DoS)の脆弱性、手動アップデートが必要 (マイナビニュース, 2024/05/21 09:40)
https://news.mynavi.jp/techplus/article/20240521-2949134/
⇒ https://vul.hatenadiary.com/entry/2024/05/21/000000_1
◆OpenSSLに任意のコード実行につながる脆弱性、注意を (マイナビニュース, 2024/06/02 17:50)
https://news.mynavi.jp/techplus/article/20240602-2956329/
⇒ https://vul.hatenadiary.com/entry/2024/06/02/000000
記事
【ニュース】
■2018年
◆「OpenSSL」のRSA鍵生成時に秘密鍵取得されるおそれ - 次期更新で修正予定 (Security NEXT, 2018/04/19)
http://www.security-next.com/092515
⇒ https://vul.hatenadiary.com/entry/2018/04/19/000000
■2019年
◆OpenSSLに複数の脆弱性、アップデートを (マイナビニュース, 2019/09/15 10:48)
https://news.mynavi.jp/article/20190915-893817/
⇒ https://vul.hatenadiary.com/entry/2019/09/15/000000
■2021年
◆OpenSSLに重要な脆弱性、OpenSSL 1.1.1kへアップデートを (マイナビニュース, 2021/03/28 13:46)
https://news.mynavi.jp/article/20210328-1843829/
⇒ https://vul.hatenadiary.com/entry/2021/03/28/000000
◆OpenSSLに脆弱性、アップデートを (マイナビニュース, 2021/08/26 12:29)
https://news.mynavi.jp/article/20210826-1956392/
⇒ https://vul.hatenadiary.com/entry/2021/08/26/000000
■2022年
◆MIPS上で動くOpenSSLに暗号化された通信の解読につながる脆弱性 (マイナビニュース, 2022/02/02 09:32)
https://news.mynavi.jp/techplus/article/20220202-2262348/
⇒ https://vul.hatenadiary.com/entry/2022/02/02/000000_3
◆「OpenSSL」にDoS攻撃のおそれ - アップデートが公開 (Security NEXT, 2022/03/16)
https://www.security-next.com/134891
⇒ https://vul.hatenadiary.com/entry/2022/03/16/000000
◆OpenSSLにリモートメモリ破壊の脆弱性、深刻度が緊急の可能性も (マイナビニュース, 2022/06/29 20:34 )
https://news.mynavi.jp/techplus/article/20220629-2383153/
⇒ https://vul.hatenadiary.com/entry/2022/06/29/000000
◆OpenSSL、緊急の脆弱性のセキュリティ修正版を11月1日に公開 (マイナビニュース, 2022/10/27 19:12)
https://news.mynavi.jp/techplus/article/20221027-2495790/
⇒ https://vul.hatenadiary.com/entry/2022/10/27/000000
◆OpenSSLが「緊急」の脆弱性に対処 2022年11月1日に新バージョンをリリース (ITmedia, 2022/10/29 07:00)
https://www.itmedia.co.jp/enterprise/articles/2210/29/news033.html
⇒ https://vul.hatenadiary.com/entry/2022/10/29/000000_1
◆OpenSSLで史上2度目の「致命的」レベルの脆弱性が発見される、2022年11月1日夜間に修正版がリリースされるため即更新を (Gigazine, 2022/11/01 19:00)
https://gigazine.net/news/20221101-openssl-critical-vulnerability-fix/
⇒ https://vul.hatenadiary.com/entry/2022/11/01/000000
◆OpenSSL fixes two high severity vulnerabilities, what you need to know (BleepingComputer, 2022/11/01 12:39)
[OpenSSLが2つの深刻度の高い脆弱性を修正、知っておくべきことは?]
https://www.bleepingcomputer.com/news/security/openssl-fixes-two-high-severity-vulnerabilities-what-you-need-to-know/
⇒ https://vul.hatenadiary.com/entry/2022/11/01/000000_1
■2023年
◆「OpenSSL 1.1.1」のサポートまで6カ月を切る ~「OpenSSL 3.0/3.1」への移行を (窓の杜, 2023/03/29 16:57)
https://forest.watch.impress.co.jp/docs/news/1489385.html
⇒ https://vul.hatenadiary.com/entry/2023/03/29/000000_2
◆「OpenSSL」の「AES-SIV」実装に脆弱性 - 重要度「低」 (Security NEXT, 2023/07/18)
https://www.security-next.com/147900
⇒ https://vul.hatenadiary.com/entry/2023/07/18/000000
■2024年
◆OpenSSLにサービス運用妨害(DoS)の脆弱性、手動アップデートが必要 (マイナビニュース, 2024/05/21 09:40)
https://news.mynavi.jp/techplus/article/20240521-2949134/
⇒ https://vul.hatenadiary.com/entry/2024/05/21/000000_1
◆OpenSSLに任意のコード実行につながる脆弱性、注意を (マイナビニュース, 2024/06/02 17:50)
https://news.mynavi.jp/techplus/article/20240602-2956329/
⇒ https://vul.hatenadiary.com/entry/2024/06/02/000000
【ブログ】
◆脅威に関する情報: OpenSSL X.509のバッファオーバーフロー脆弱性 (CVE-2022-3786、CVE-2022-3602) (UNIT42(Paloalto), 2022/11/03 22:27)
https://unit42.paloaltonetworks.jp/openssl-vulnerabilities/
⇒ https://vul.hatenadiary.com/entry/2022/11/03/000000
【公開情報】
■2018年
◆Cache timing vulnerability in RSA Key Generation (OpenSSL, 2018/04/16)
[RSA Key Generationにおけるキャッシュタイミングの脆弱性]
https://www.openssl.org/news/secadv/20180416.txt
⇒ https://vul.hatenadiary.com/entry/2018/04/16/000000
■2022年
◆Notes on OpenSSL remote memory corruption (Guido Vranken, 2022/06/27)
[OpenSSL のリモートメモリ破壊に関する注意事項]
https://guidovranken.com/2022/06/27/notes-on-openssl-remote-memory-corruption/
⇒ https://vul.hatenadiary.com/entry/2022/06/27/000000
◆OpenSSL Security Advisory (OpenSSL.org, 2022/11/01)
https://www.openssl.org/news/secadv/20221101.txt
⇒ https://vul.hatenadiary.com/entry/2022/11/01/000000_2
【図表】
一般的なCSPにおける脆弱なOpenSSLインスタンス(Wiz.io)
出典: https://www.bleepingcomputer.com/news/security/openssl-fixes-two-high-severity-vulnerabilities-what-you-need-to-know/
【検索】
google: OpenSSL
google: CVE-2022-3602
google: CVE-2022-3786
google:news: OpenSSL
google: CVE-2022-3602
google: CVE-2022-3786
google: site:virustotal.com OpenSSL
google: CVE-2022-3602
google: CVE-2022-3786
■Bing
https://www.bing.com/search?q=OpenSSL
google: CVE-2022-3602
google: CVE-2022-3786
https://www.bing.com/news/search?q=OpenSSL
google: CVE-2022-3602
google: CVE-2022-3786
https://twitter.com/search?q=%23OpenSSL
google: CVE-2022-3602
google: CVE-2022-3786
