OpenSSL (まとめ) - TT 脆弱性 Blog

malware-log.hatenablog.com
security-tools.hatenablog.com

【目次】

概要
記事
関連情報
- 【関連まとめ記事】

概要

【図表】

一般的なCSPにおける脆弱なOpenSSLインスタンス(Wiz.io)
出典: https://www.bleepingcomputer.com/news/security/openssl-fixes-two-high-severity-vulnerabilities-what-you-need-to-know/

【概要】

日	CVE番号	NVD	CVSS v3	CWE	脆弱性	備考
2022/11/01	CVE-2022-3602	NVD	9.8(NVD)	CWE-120	バッファオーバーフロー
2022/11/01	CVE-2022-3786	NVD	7.5(NVD)	CWE-120	バッファオーバーフロー

項目	内容
脆弱なバージョン	OpenSSL 3.0.0 ～ OpenSSL 3.0.6
安全なバージョン	OpenSSL 3.0.7

【最新情報】

◆「OpenSSL 1.1.1」のサポートまで6カ月を切る～「OpenSSL 3.0/3.1」への移行を (窓の杜, 2023/03/29 16:57)
https://forest.watch.impress.co.jp/docs/news/1489385.html
⇒ https://vul.hatenadiary.com/entry/2023/03/29/000000_2

記事

【ニュース】

■2018年

◆「OpenSSL」のRSA鍵生成時に秘密鍵取得されるおそれ - 次期更新で修正予定 (Security NEXT, 2018/04/19)
http://www.security-next.com/092515
⇒ https://vul.hatenadiary.com/entry/2018/04/19/000000

■2019年

◆OpenSSLに複数の脆弱性、アップデートを (マイナビニュース, 2019/09/15 10:48)
https://news.mynavi.jp/article/20190915-893817/
⇒ https://vul.hatenadiary.com/entry/2019/09/15/000000

■2021年

◆OpenSSLに重要な脆弱性、OpenSSL 1.1.1kへアップデートを (マイナビニュース, 2021/03/28 13:46)
https://news.mynavi.jp/article/20210328-1843829/
⇒ https://vul.hatenadiary.com/entry/2021/03/28/000000

◆OpenSSLに脆弱性、アップデートを (マイナビニュース, 2021/08/26 12:29)
https://news.mynavi.jp/article/20210826-1956392/
⇒ https://vul.hatenadiary.com/entry/2021/08/26/000000

■2022年

◆MIPS上で動くOpenSSLに暗号化された通信の解読につながる脆弱性 (マイナビニュース, 2022/02/02 09:32)
https://news.mynavi.jp/techplus/article/20220202-2262348/
⇒ https://vul.hatenadiary.com/entry/2022/02/02/000000_3

◆「OpenSSL」にDoS攻撃のおそれ - アップデートが公開 (Security NEXT, 2022/03/16)
https://www.security-next.com/134891
⇒ https://vul.hatenadiary.com/entry/2022/03/16/000000

◆OpenSSLにリモートメモリ破壊の脆弱性、深刻度が緊急の可能性も (マイナビニュース, 2022/06/29 20:34 )
https://news.mynavi.jp/techplus/article/20220629-2383153/
⇒ https://vul.hatenadiary.com/entry/2022/06/29/000000

◆OpenSSL、緊急の脆弱性のセキュリティ修正版を11月1日に公開 (マイナビニュース, 2022/10/27 19:12)
https://news.mynavi.jp/techplus/article/20221027-2495790/
⇒ https://vul.hatenadiary.com/entry/2022/10/27/000000

◆OpenSSLが「緊急」の脆弱性に対処　2022年11月1日に新バージョンをリリース (ITmedia, 2022/10/29 07:00)
https://www.itmedia.co.jp/enterprise/articles/2210/29/news033.html
⇒ https://vul.hatenadiary.com/entry/2022/10/29/000000_1

◆OpenSSLで史上2度目の「致命的」レベルの脆弱性が発見される、2022年11月1日夜間に修正版がリリースされるため即更新を (Gigazine, 2022/11/01 19:00)
https://gigazine.net/news/20221101-openssl-critical-vulnerability-fix/
⇒ https://vul.hatenadiary.com/entry/2022/11/01/000000

◆OpenSSL fixes two high severity vulnerabilities, what you need to know (BleepingComputer, 2022/11/01 12:39)
[OpenSSLが2つの深刻度の高い脆弱性を修正、知っておくべきことは？]
https://www.bleepingcomputer.com/news/security/openssl-fixes-two-high-severity-vulnerabilities-what-you-need-to-know/
⇒ https://vul.hatenadiary.com/entry/2022/11/01/000000_1

■2022年

◆「OpenSSL 1.1.1」のサポートまで6カ月を切る～「OpenSSL 3.0/3.1」への移行を (窓の杜, 2023/03/29 16:57)
https://forest.watch.impress.co.jp/docs/news/1489385.html
⇒ https://vul.hatenadiary.com/entry/2023/03/29/000000_2

【ブログ】

◆脅威に関する情報: OpenSSL X.509のバッファオーバーフロー脆弱性 (CVE-2022-3786、CVE-2022-3602) (UNIT42(Paloalto), 2022/11/03 22:27)
https://unit42.paloaltonetworks.jp/openssl-vulnerabilities/
⇒ https://vul.hatenadiary.com/entry/2022/11/03/000000

【公開情報】

■2018年

◆Cache timing vulnerability in RSA Key Generation (OpenSSL, 2018/04/16)
[RSA Key Generationにおけるキャッシュタイミングの脆弱性]
https://www.openssl.org/news/secadv/20180416.txt
⇒ https://vul.hatenadiary.com/entry/2018/04/16/000000

■2022年

◆Notes on OpenSSL remote memory corruption (Guido Vranken, 2022/06/27)
[OpenSSL のリモートメモリ破壊に関する注意事項]
https://guidovranken.com/2022/06/27/notes-on-openssl-remote-memory-corruption/
⇒ https://vul.hatenadiary.com/entry/2022/06/27/000000

◆OpenSSL Security Advisory (OpenSSL.org, 2022/11/01)
https://www.openssl.org/news/secadv/20221101.txt
⇒ https://vul.hatenadiary.com/entry/2022/11/01/000000_2