TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

OpenSSL (まとめ)

malware-log.hatenablog.com


【目次】

概要

【図表】


一般的なCSPにおける脆弱なOpenSSLインスタンス(Wiz.io)
出典: https://www.bleepingcomputer.com/news/security/openssl-fixes-two-high-severity-vulnerabilities-what-you-need-to-know/

【概要】
CVE番号
NVD
CVSS v3
CWE
脆弱性
備考
2022/11/01 CVE-2022-3602 NVD 9.8(NVD) CWE-120 バッファオーバーフロー
2022/11/01 CVE-2022-3786 NVD 7.5(NVD) CWE-120 バッファオーバーフロー


項目 内容
脆弱なバージョン OpenSSL 3.0.0 ~ OpenSSL 3.0.6
安全なバージョン OpenSSL 3.0.7
【最新情報】

◆OpenSSL、緊急の脆弱性のセキュリティ修正版を11月1日に公開 (マイナビニュース, 2022/10/27 19:12)
https://news.mynavi.jp/techplus/article/20221027-2495790/
https://vul.hatenadiary.com/entry/2022/10/27/000000

◆OpenSSLが「緊急」の脆弱性に対処 2022年11月1日に新バージョンをリリース (ITmedia, 2022/10/29 07:00)
https://www.itmedia.co.jp/enterprise/articles/2210/29/news033.html
https://vul.hatenadiary.com/entry/2022/10/29/000000_1

◆OpenSSLで史上2度目の「致命的」レベルの脆弱性が発見される、2022年11月1日夜間に修正版がリリースされるため即更新を (Gigazine, 2022/11/01 19:00)
https://gigazine.net/news/20221101-openssl-critical-vulnerability-fix/
https://vul.hatenadiary.com/entry/2022/11/01/000000

◆OpenSSL Security Advisory (OpenSSL.org, 2022/11/01)
https://www.openssl.org/news/secadv/20221101.txt
https://vul.hatenadiary.com/entry/2022/11/01/000000_2

◆OpenSSL fixes two high severity vulnerabilities, what you need to know (BleepingComputer, 2022/11/01 12:39)
[OpenSSLが2つの深刻度の高い脆弱性を修正、知っておくべきことは?]
https://www.bleepingcomputer.com/news/security/openssl-fixes-two-high-severity-vulnerabilities-what-you-need-to-know/
https://vul.hatenadiary.com/entry/2022/11/01/000000_1

◆脅威に関する情報: OpenSSL X.509のバッファオーバーフロー脆弱性 (CVE-2022-3786、CVE-2022-3602) (UNIT42(Paloalto), 2022/11/03 22:27)
https://unit42.paloaltonetworks.jp/openssl-vulnerabilities/
https://vul.hatenadiary.com/entry/2022/11/03/000000

記事

【ニュース】

■2018年

◆「OpenSSL」のRSA鍵生成時に秘密鍵取得されるおそれ - 次期更新で修正予定 (Security NEXT, 2018/04/19)
http://www.security-next.com/092515
https://vul.hatenadiary.com/entry/2018/04/19/000000


■2019年

◆OpenSSLに複数の脆弱性、アップデートを (マイナビニュース, 2019/09/15 10:48)
https://news.mynavi.jp/article/20190915-893817/
https://vul.hatenadiary.com/entry/2019/09/15/000000


■2021年

◆OpenSSLに重要な脆弱性、OpenSSL 1.1.1kへアップデートを (マイナビニュース, 2021/03/28 13:46)
https://news.mynavi.jp/article/20210328-1843829/
https://vul.hatenadiary.com/entry/2021/03/28/000000

◆OpenSSLに脆弱性、アップデートを (マイナビニュース, 2021/08/26 12:29)
https://news.mynavi.jp/article/20210826-1956392/
https://vul.hatenadiary.com/entry/2021/08/26/000000


■2022年

◆MIPS上で動くOpenSSLに暗号化された通信の解読につながる脆弱性 (マイナビニュース, 2022/02/02 09:32)
https://news.mynavi.jp/techplus/article/20220202-2262348/
https://vul.hatenadiary.com/entry/2022/02/02/000000_3

◆「OpenSSL」にDoS攻撃のおそれ - アップデートが公開 (Security NEXT, 2022/03/16)
https://www.security-next.com/134891
https://vul.hatenadiary.com/entry/2022/03/16/000000

◆OpenSSLにリモートメモリ破壊の脆弱性、深刻度が緊急の可能性も (マイナビニュース, 2022/06/29 20:34 )
https://news.mynavi.jp/techplus/article/20220629-2383153/
https://vul.hatenadiary.com/entry/2022/06/29/000000

◆OpenSSL、緊急の脆弱性のセキュリティ修正版を11月1日に公開 (マイナビニュース, 2022/10/27 19:12)
https://news.mynavi.jp/techplus/article/20221027-2495790/
https://vul.hatenadiary.com/entry/2022/10/27/000000

◆OpenSSLが「緊急」の脆弱性に対処 2022年11月1日に新バージョンをリリース (ITmedia, 2022/10/29 07:00)
https://www.itmedia.co.jp/enterprise/articles/2210/29/news033.html
https://vul.hatenadiary.com/entry/2022/10/29/000000_1

◆OpenSSLで史上2度目の「致命的」レベルの脆弱性が発見される、2022年11月1日夜間に修正版がリリースされるため即更新を (Gigazine, 2022/11/01 19:00)
https://gigazine.net/news/20221101-openssl-critical-vulnerability-fix/
https://vul.hatenadiary.com/entry/2022/11/01/000000

◆OpenSSL fixes two high severity vulnerabilities, what you need to know (BleepingComputer, 2022/11/01 12:39)
[OpenSSLが2つの深刻度の高い脆弱性を修正、知っておくべきことは?]
https://www.bleepingcomputer.com/news/security/openssl-fixes-two-high-severity-vulnerabilities-what-you-need-to-know/
https://vul.hatenadiary.com/entry/2022/11/01/000000_1

【ブログ】

◆脅威に関する情報: OpenSSL X.509のバッファオーバーフロー脆弱性 (CVE-2022-3786、CVE-2022-3602) (UNIT42(Paloalto), 2022/11/03 22:27)
https://unit42.paloaltonetworks.jp/openssl-vulnerabilities/
https://vul.hatenadiary.com/entry/2022/11/03/000000

【公開情報】

■2018年

◆Cache timing vulnerability in RSA Key Generation (OpenSSL, 2018/04/16)
[RSA Key Generationにおけるキャッシュタイミングの脆弱性]
https://www.openssl.org/news/secadv/20180416.txt
https://vul.hatenadiary.com/entry/2018/04/16/000000


■2022年

◆Notes on OpenSSL remote memory corruption (Guido Vranken, 2022/06/27)
[OpenSSL のリモートメモリ破壊に関する注意事項]
https://guidovranken.com/2022/06/27/notes-on-openssl-remote-memory-corruption/
https://vul.hatenadiary.com/entry/2022/06/27/000000

◆OpenSSL Security Advisory (OpenSSL.org, 2022/11/01)
https://www.openssl.org/news/secadv/20221101.txt
https://vul.hatenadiary.com/entry/2022/11/01/000000_2

【図表】


一般的なCSPにおける脆弱なOpenSSLインスタンス(Wiz.io)
出典: https://www.bleepingcomputer.com/news/security/openssl-fixes-two-high-severity-vulnerabilities-what-you-need-to-know/

関連情報

【関連まとめ記事】

◆全体まとめ
https://vul.hatenadiary.com/entry/root


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022