2022年10月25日(UTC)にOpenSSLプロジェクトから、OpenSSL※1利用中のお客様環境に影響する可能性のある重大な脆弱性についての発表がありました。発表内容の詳細は以下をご確認ください。
OpenSSLプロジェクトは、その脆弱性レベル深刻度評価で最も高い緊急レベルの脆弱性を発見しました。また、この脆弱性に対処するため、OpenSSL修正版(v3.0.7)を緊急で2022年11月1日(火)UTC時間13:00 – 17:00(日本時間11月1日22:00 – 11月2日2:00)にリリースすると発表がありました。
今回発見された脆弱性によってアップデートが必要となる対象は、OpenSSL Version3.0以降です。お客様の環境でOpenSSL利用の有無をご確認いただき、Version3.0以降をご利用中の場合は、2022年11月1日に修正版がリリースされ次第、アップデート対応をされることを推奨いたします。
なお、Version1.1.1をご利用中の場合、今回の脆弱性の影響は受けませんが、同日にVersion1.1.1sがリリースされますので、対応を推奨いたします。
脆弱性の詳細や改修スペックの具体的な内容は、セキュリティ上の問題が発見された場合の標準的な慣例と同様に、パッチ前の攻撃リスクを避けるために公開はされていません。
OpenSSLプロジェクトは「緊急」の評価を以下の様に定義しています。
CRITICAL Severity. This affects common configurations and which are also likely to be exploitable. Examples include significant disclosure of the contents of server memory (potentially revealing user details), vulnerabilities which can be easily exploited remotely to compromise server private keys or where remote code execution is considered likely in common situations. These issues will be kept private and will trigger a new release of all supported versions. We will attempt to address these as soon as possible.
CRITICAL (緊急)レベル:共通設定に影響し、攻撃に利用される可能性が高い。例としては、サーバメモリの内容の重大な開示 (ユーザの詳細が明らかになる可能性あり)、サーバの秘密鍵を侵害するために簡単にリモートで悪用できる脆弱性、または、一般的にリモートでコードが実行される可能性が高いとみなされる脆弱性が含まれます。これらの脆弱性は公開されず、サポートされている全バージョンの新しいリリースが準備されます。出来るだけ早い対処に努めます。
GMOグローバルサインは、お客様に信頼いただけるデジタルパートナーとして、本件の経過を監視し、更なる対応が必要な場合には、適宜ご連絡いたします。
※1 OpenSSLは、OpenSSLプロジェクトによって開発された、インターネット上でSSL/TLSプロトコルを利用した暗号化通信を可能にする機能を実装したオープンソースソフトウェアライブラリです。サーバやソフトウェアに組み込まれ広く利用されており、HTTPSを利用している場合、OpenSSLを利用している可能性が非常に高くなっています。