掲載番号:NV23-002
脆弱性情報識別番号:JVNVU#92673251

概要

OpenSSL 3.0.0から3.0.6には、次の脆弱性が存在します。

電子メールアドレスの処理における4バイトのバッファオーバーフロー - CVE-2022-3602
電子メールアドレスの処理における可変長バイトのバッファオーバーフロー - CVE-2022-3786

CVE-2022-3602は事前の予告でCRITICALとされていましたが、HIGHに変更されています。
ただし、早急な修正推奨は変更されていません。

対象製品

WitchyMail

対象となる製品のバージョン

WitchyMailがインストールされているサーバのOpenSSLが 3.0.7 より前の 3.0 系のバージョンで、
https接続にて利用する場合、かつX.509 証明書を使用している場合
(RHEL8以前のOSに同梱されているOpenSSLを使用している場合は、この問題の影響を受けません。)

対処方法

独自にOpenSSL 3.0.7 より前の 3.0 系を適用している場合は、最新版へアップデートしてください。

参考情報

JVNVU#90776782
https://jvn.jp/vu/JVNVU92673251/

JPCERT/CC
https://www.jpcert.or.jp/at/2022/at220030.html

OpenSSL
https://mta.openssl.org/pipermail/openssl-announce/2022-November/000241.html

NCSC-NL
https://github.com/NCSC-NL/OpenSSL-2022/blob/main/software/README.md

更新情報