2022年11月1日に重要度「High」のOpenSSLの脆弱性(CVE-2022-3602、CVE-2022-3786)についての情報が公開されたことについて調べた
概要
X.509電子証明書に含まれるメアドのデコード処理において、バッファオーバーフローが発生する脆弱性
攻撃者が悪意のあるクライアント証明書を用意した場合にオーバーフローを発生させられ、サーバークラッシュさせられる可能性がある
影響を受けるバージョン
OpenSSL 3.0.7より前の3.0系のバージョン
対策
3.x系を使っている場合の、対策としては3.0.7にバージョンを上げること
聞くところによると、3.x系を搭載しているのは、ここ最近登場したLinuxディストリビューション(Ubuntu 22.04LTS や RHEL9 等)くらいらしいので緊急性を要するものではないことがわかった