OpenSSL 3 パッチは、かつては「緊急」だったが、現在は「高」に過ぎず、バッファ オーバーフローを修正します。

OpenSSL の脆弱性は、インターネットを変える Heartbleed バグが修正されて以来、かつては最初の重大レベルの修正としてマークされていました。これは最終的に、すべての OpenSSL 3.x インストールに影響を与えるバッファ オーバーフローに対する「高度な」セキュリティ修正として登場しましたが、リモートでコードが実行される可能性は低いです。

OpenSSL バージョン 3.0.7 は先週、 重要なセキュリティ パッチとして発表されました。特定の脆弱性 (現在のCVE-2022-37786 および CVE-2022-3602 ) は今日までほとんど知られていませんでしたが、Web セキュリティ アナリストや企業は、顕著な問題やメンテナンスの問題がある可能性があることを示唆しています。Fedora を含む一部の Linux ディストリビューションは、パッチがリリースされるまでリリースが延期されます。配信大手の Akamai はパッチ適用前に、監視対象のネットワークの半数に OpenSSL 3.x の脆弱なインスタンスが存在するマシンが少なくとも 1 台あり、それらのネットワークのうち 0.2 ～ 33% のマシンが脆弱であると指摘していました。

しかし、特定の脆弱性 (限られた状況、ほとんどの最新プラットフォームのスタック レイアウトによって軽減されるクライアント側のオーバーフロー) にはパッチが適用され、「高」と評価されています。また、OpenSSL 1.1.1 はまだ長期サポート中であるため、OpenSSL 3.x はそれほど普及していません。

マルウェアの専門家である Markus Hutchins 氏は、GitHub 上の OpenSSL コミットを指摘し、「コード デコード関数における 2 つのバッファ オーバーフローを修正」というコードの問題を詳しく説明しています。X.509 証明書で検証された悪意のある電子メール アドレスは、スタック上でバイト オーバーフローを引き起こし、プラットフォームと構成によってはクラッシュやリモート コード実行につながる可能性があります。

しかし、この脆弱性は主にサーバーではなくクライアントに影響を与えるため、Heartbleed のようなインターネット セキュリティのリセット (そして不条理) が起こる可能性は低いです。たとえば、OpenSSL 3.x や Node.js などの言語を使用する VPN が影響を受ける可能性があります。サイバーセキュリティ専門家の Kevin Beaumont 氏は、ほとんどの Linux ディストリビューションのデフォルト構成におけるスタック オーバーフロー保護により、コードの実行が防止されるはずだと指摘しています。

重要な発表と高レベルのリリースの間に何が変わりましたか? OpenSSL セキュリティ チームは、約 1 週間後に組織がテストを行い、フィードバックを提供したとブログに書いています。一部の Linux ディストリビューションでは、1 回の攻撃で 4 バイトのオーバーフローが発生する可能性があり、まだ使用されていない隣接するバッファーが上書きされるため、システムがクラッシュしたりコードが実行されたりすることはありません。別の脆弱性により、攻撃者はオーバーフローの長さのみを設定できますが、その内容は設定できません。

したがって、クラッシュの可能性は依然としてあり、一部のスタックはリモート コード実行を許可するように調整できますが、これは可能性が低いか簡単であり、脆弱性は「高」に低下します。ただし、OpenSSL バージョン 3.x を実装しているユーザーは、できるだけ早くパッチをインストールする必要があります。そして、さまざまなサブシステムにおけるこれらの問題を修正できるソフトウェアと OS のアップデートに誰もが注目する必要があります。

監視サービスの Datadog は、この問題についての適切な声明の中で、同社のセキュリティ研究チームが概念実証として OpenSSL 3.x バージョンを使用して Windows の導入を失敗させることができたと述べています。また、Linux デプロイメントが悪用される可能性は低いですが、「Linux デプロイメント用に構築されたエクスプロイト」が出現する可能性は依然としてあります。

オランダ国立サイバー セキュリティ センター (NCSL-NL) には、OpenSSL 3.x エクスプロイトに対して脆弱なソフトウェアの最新リストがあります。多数の人気のある Linux ディストリビューション、仮想化プラットフォーム、その他のツールが脆弱性があるか調査中としてリストされています。