HCL BigFix: OpenSSL V3 の新たな脆弱性が悪用される
2022/11/8 - 読み終える時間: 2 分
New OpenSSL V3 Vulnerabilities are Exploitable の翻訳版です。
OpenSSL V3 の新たな脆弱性が悪用される
2022年11月1日
著者: Rhonda Studnick Kaiser / Director - Customer Experience BigFix
(このブログは、随時追加情報を更新していきます)
OpenSSLプロジェクトは、OpenSSLソフトウェアのバージョン3.0.7より前のバージョンに存在する脆弱性の詳細を発表しました。 これらのセキュリティ脆弱性に対応するため、OpenSSL Version 3.0.7をリリースしました。OpenSSLは、インターネット上での安全な通信を可能にするSSLおよびTLSプロトコルを実装したオープンソースの中核的なライブラリです。LinuxおよびMac OS Venturaを含む一部のOS、Node.js 18および19に影響を及ぼします。
本脆弱性について
この脆弱性の影響を受けるBigFix製品はありません。 OpenSSLプロジェクトは、当初、この脆弱性をクリティカル(Critical)と報告していましたが、その後、OpenSSLの最新のアドバイザリーにより、ハイ(High)に格下げされました。 また、OpenSSLのV3.0以前のバージョンには影響を与えないことを表明しています。
この脆弱性は、以下のような影響を与えることが知られています。
- Linux オペレーティングシステム、および Ubuntu や macOS Ventura などの一部のバージョン
- コンテナおよびコンテナイメージ
- JavaScriptランタイムのNode.js 18.xおよび19.x
- OpenSSL V3.0以上を組み込んだC/C++開発者が開発したコード
BigFixユーザーへの推奨対処法
-
OpenSSL の最新情報を https://www.openssl.org/news/vulnerabilities.html で確認する。
-
OpenSSL V3.0以降を搭載した脆弱性のあるシステムの特定
a. インベントリスキャンを実施する(BigFixインベントリシグネチャは開発中です)
a-i. シグネチャが公開されたら、BigFixフォーラムを参照してください。
a-ii. OpenSSLのバージョンについて、他のスキャンソフトウェアやツールの情報源を確認する(https://github.com/NCSC-NL/OpenSSL-2022/tree/main/scanning)。
-
潜在的な侵入や攻撃を防ぐために、できるだけ早くOpenSSLをV3.0.7にアップグレードしてください。
a. BigFixチームは、本脆弱性に対応したベンダーのフィックスレットを迅速に公開する予定です。
b. BigFixフォーラムでは、コンテンツリリースのアナウンスを行い、BigFixフォーラムのリンク先では、BigFixの全体的な対応についてお知らせします。
-
最新の情報はBig Forumでご確認ください。https://forum.bigfix.com/t/openssl-3-vulnerabilities-2022-11-01/43303