申し訳ありません。バージョン(3.1.1, 3.0.9, 1.1.1u, 1.0.2zh)がリリースと書きましたが、SeverityがLowなため、今回はFixバージョンはリリースせず、次期の新バージョン(3.1.1, 3.0.9, 1.1.1u, 1.0.2zh)リリース時にFixするという内容でした。タイトルも修正しています。山賀 正人さん、御指摘有難うございました。
03/23/2022 (JST) にOpenSSLの脆弱性情報(Low: CVE-2023-0464)が公開されています。LowではありますがOpenSSLということもありますので、今回はこちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。
[過去関連リンク(最新5件)]
- OpenSSLの脆弱性情報(High: CVE-2023-0464, Moderate: CVE-2022-4203, CVE-2022-4304, CVE-2022-4450, CVE-2023-0215, CVE-2023-0216, CVE-2023-0217, CVE-2023-0401)と新バージョン(3.0.8, 1.1.1t)
- OpenSSLの脆弱性情報(Low: CVE-2022-3996)
- OpenSSLの脆弱性情報(High: CVE-2022-3786, CVE-2022-3602)と新バージョン(3.0.7, 1.1.1s)
- 【重要:3.0.6/1.1.1rはregressionが見つかったため撤回】OpenSSLの脆弱性情報(Low: CVE-2022-3358)と新バージョン(3.0.6, 1.1.1r)
- OpenSSLの脆弱性情報(High: CVE-2022-2274, Moderate: CVE-2022-2097)と新バージョン(3.0.5, 1.1.1q)
- OpenSSLの脆弱性情報(Moderate: CVE-2022-2068)と新バージョン(3.0.4, 1.1.1p, 1.0.2zf))
- OpenSSLの脆弱性情報(Moderate: CVE-2022-1292, CVE-2022-1343, Low: CVE-2022-1434, CVE-2022-1473 )と新バージョン(3.0.3, 1.1.1o, 1.0.2ze)
CVSS/プライオリティ
- CVE-2023-0464
- 影響するバージョン
- OpenSSL 3.1, 3.0, 1.1.1, 1.0.2
- Priority
- Vendor: Low
- CVSS Score / CVSS Vector
- N/A>
- 影響するバージョン
一次情報源
修正方法
各ディストリビューションの情報を確認してください。
CVE概要(詳細はCVEのサイトをご確認ください)
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0464
- X.509 証明書チェーンでのDoSの可能性
- 重要度 – Low
- 対象 – OpenSSL 3.0, 1.1.1, 1.0.2
- ポリシー制約を含むX.509証明書チェーンの確認に関して全てのサポートされたバージョンのOpenSSLに脆弱性が見つかりました。攻撃者はこの脆弱性を用いて指数関数的なコンピュータリソースを使用する悪意のある証明書チェーンを作成することができ、問題のシステムにDoSを仕掛けることが可能です。
主なディストリビューションの対応方法
詳細は、各ディストリビューションの提供元にご確認ください
- Debian
- Red Hat Enterprise Linux/CentOS
- Ubuntu
- SUSE/openSUSE
対処方法
各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteやKatello、Spacewalk等を使うと管理が便利でしょう。
