このページの本文へ

OpenSSLの重大な脆弱性を発見  脆弱性対策のSnykがブログ公開

2022年11月02日 18時30分更新

文● ASCII

  • この記事をはてなブックマークに追加
  • 本文印刷

OpenSSL Blogより

 「OpenSSL」開発チームは10月25日、OpenSSLプロジェクトにおいて重大なセキュリティー脆弱性があることを発表し、この脆弱性に対処するためにOpenSSLのバージョン3.0.7を11月1日にリリースした。Snykは10月31日、この脆弱性の問題点と修正の詳細を解説するブログを公開した。

 OpenSSL開発チームは、この脆弱性の深刻度を「高い(High)」として、OpenSSLの3.xバージョンにのみ影響を与えるとしている。3.0未満のバージョンのOpenSSLを使用している場合は、今のところ影響を受けないという。この脆弱性により、ユーザー情報が漏洩する可能性や、リモートからの容易な攻撃によりサーバー秘密鍵の漏洩、リモートコード実行(RCE)などの被害を受ける可能性が指摘されている。

 現在、脆弱性のあるバージョンのOpenSSL(3.0以上)は、Ubuntu 22.04 LTS、RHEL 9などのLinux OSで使用されている。しかし、DebianなどのLinuxディストリビューションでは、OpenSSL 3.xはまだテスト版とみなされる最新のリリースにしか含まれていないため、実稼働システムでの普及は限定的である可能性があるという。

 Snykは同ブログにて、Snykユーザー向けに脆弱性が公表される前に影響の有無を確認する方法を紹介している。SnykのBusinessまたはEnterpriseプランを利用中の場合、OpenSSLの脆弱なバージョン(3.0.x)を含むすべてのプロジェクトを検索できる。

 また、無料アカウントを含むSnykユーザーは誰でも、Snykダッシュボードにアクセスしてプロジェクトを選択し、Dependenciesタブをクリックして「openssl」を検索することで、OpenSSLの脆弱なバージョンをスキャンできる。Snykでプロジェクトをテストしていない場合は、Snyk CLIでテストが可能。

 Snykは詳細なアドバイザリーを公開しており、今回の脆弱性について新たな詳細が公表された場合には、このアドバイザリーを更新する。

カテゴリートップへ

  • 角川アスキー総合研究所
  • アスキーカード