Japan
サイト内の現在位置
OpenSSLに複数の脆弱性
掲載番号:NV22-012
脆弱性情報識別番号:JVNVU#96381485
概要
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
・リモートコード実行 - CVE-2022-2274
OpenSSL 3.0.4リリースのAVX512IFMA命令をサポートするX86_64CPUのRSA実装不備により、2048ビットの秘密鍵を使用すると、計算中にメモリ破壊が発生する
・メモリ内のデータが読み取られる - CVE-2022-2097
32ビットx86プラットフォーム向けのAES OCBモードにおいて、AES-NIアセンブリ最適化実装を使用するとデータが暗号化されない場合がある
対象製品
ReportFiling
対象となる製品のバージョン
すべてのバージョン
対処方法
OpenSSLを最新版にアップデートしてください。
WitchyMail
対象となる製品のバージョン
すべてのバージョン(独自にOpenSSL 3.0.4を適用している場合のみ)
対処方法
独自にOpenSSL 3.0.4を適用している場合は、各ディストリビューションの案内に従い、アップデートを行ってください。
NEC Cyber Security Platform
対象となる製品のバージョン
Linux x86版NCSPエージェント V2.0.7.2~V2.0.7.3、V3.0.0.2~V3.0.0.5
対処方法
NCSPエージェントV2.0.7.4にて対応済みです。
UNIVERGE WAシリーズ
対象となる製品のバージョン
Ver8.3.9~Ver8.6.11
対処方法
Ver8.6.14以降にアップデートしてください。
参考情報
OpenSSL Security Advisory [5 July 2022]
https://www.openssl.org/news/secadv/20220705.txt
Debian
https://security-tracker.debian.org/tracker/CVE-2022-2274
https://security-tracker.debian.org/tracker/CVE-2022-2097
Red Hat
https://access.redhat.com/security/cve/CVE-2022-2274
https://access.redhat.com/security/cve/CVE-2022-2097
Ubuntu
https://ubuntu.com/security/CVE-2022-2274
https://ubuntu.com/security/CVE-2022-2097
SUSE
https://www.suse.com/security/cve/CVE-2022-2274.html
https://www.suse.com/security/cve/CVE-2022-2097.html
更新情報
- 2022/04/21
-
UNIVERGE WAシリーズ を登録しました。
- 2022/12/09
-
WitchyMail, NEC Cyber Security Platform を登録しました。
- 2022/09/22
-
ReportFiling を登録しました。