OpenSSL Blogより
「OpenSSL」開発チームは10月25日、OpenSSLプロジェクトにおいて重大なセキュリティー脆弱性があることを発表し、この脆弱性に対処するためにOpenSSLのバージョン3.0.7を11月1日にリリースした。Snykは10月31日、この脆弱性の問題点と修正の詳細を解説するブログを公開した。
OpenSSL開発チームは、この脆弱性の深刻度を「高い(High)」として、OpenSSLの3.xバージョンにのみ影響を与えるとしている。3.0未満のバージョンのOpenSSLを使用している場合は、今のところ影響を受けないという。この脆弱性により、ユーザー情報が漏洩する可能性や、リモートからの容易な攻撃によりサーバー秘密鍵の漏洩、リモートコード実行(RCE)などの被害を受ける可能性が指摘されている。
現在、脆弱性のあるバージョンのOpenSSL(3.0以上)は、Ubuntu 22.04 LTS、RHEL 9などのLinux OSで使用されている。しかし、DebianなどのLinuxディストリビューションでは、OpenSSL 3.xはまだテスト版とみなされる最新のリリースにしか含まれていないため、実稼働システムでの普及は限定的である可能性があるという。
Snykは同ブログにて、Snykユーザー向けに脆弱性が公表される前に影響の有無を確認する方法を紹介している。SnykのBusinessまたはEnterpriseプランを利用中の場合、OpenSSLの脆弱なバージョン(3.0.x)を含むすべてのプロジェクトを検索できる。
また、無料アカウントを含むSnykユーザーは誰でも、Snykダッシュボードにアクセスしてプロジェクトを選択し、Dependenciesタブをクリックして「openssl」を検索することで、OpenSSLの脆弱なバージョンをスキャンできる。Snykでプロジェクトをテストしていない場合は、Snyk CLIでテストが可能。
Snykは詳細なアドバイザリーを公開しており、今回の脆弱性について新たな詳細が公表された場合には、このアドバイザリーを更新する。
