OpenSSL 3.0 - CVE-2022-3602、CVE-2022-3786の脆弱性と対策の整理

regentag · 2022-11-02T16:17:45+09:00

今回発表された脆弱性は、X.509 Email Address Buffer Overflow に関連するもの証明書に、バッファオーバーフローをトリガーするよう設計された、特別に細工されたプニコード(Punycode)でエンコードされたメールアドレスが含まれている場合に発生する可能性がある当初は Critical として発表されたが、11月1日に High へ引き下げられた RCE(Remote Command Execution、リモート実行)というよりは DoS(サービス拒否) 脆弱性に近いことが確認され、危険度が調整された

(asecurity.dev)

8 ポイント投稿者 regentag 2022-11-02 | 3件のコメント | WhatsAppで共有

今回発表された脆弱性は、X.509 Email Address Buffer Overflow に関連するもの
証明書に、バッファオーバーフローをトリガーするよう設計された、特別に細工されたプニコード(Punycode)でエンコードされたメールアドレスが含まれている場合に発生する可能性がある
当初は Critical として発表されたが、11月1日に High へ引き下げられた
- RCE(Remote Command Execution、リモート実行)というよりは DoS(サービス拒否) 脆弱性に近いことが確認され、危険度が調整された

3件のコメント

richardk 2022-11-03

AWS のサービスは影響を受けず、顧客による対応は不要です。

https://aws.amazon.com/security/security-bulletins/AWS-2022-008/

alus20x 2022-11-02

要約ありがとうございます！
4行目のうち、リモート実行の略語はRCEですが、RECと誤記されていますね

regentag 2022-11-02

OpenSSL、CVE-2022-3786 / CVE-2022-3602 にパッチを適用した 3.0.7 リリース

OpenSSL 3.0 - CVE-2022-3602、CVE-2022-3786の脆弱性と対策の整理

関連記事

3件のコメント