JVNDB-2022-001957
|
OpenSSL の c_rehash スクリプトにおけるコマンドインジェクションの脆弱性
|
|
OpenSSL Project より、OpenSSL Security Advisory [21 June 2022] が公開されました。
OpenSSL には、次の脆弱性が存在します。
深刻度 - 中 (Severity: Moderate)
c_rehash スクリプトには、シェルのメタ文字を適切にサニタイズしていない問題に起因するコマンドインジェクション (CWE-77、CVE-2022-2068) の脆弱性が存在します。
OpenSSL の開発者は c_rehash スクリプトを OpenSSL rehash コマンドラインツールに置き換える必要があるとしています。
|
|
|
|
|
OpenSSL Project
- OpenSSL 3.0.4 より前のバージョン
- OpenSSL 1.1.1p より前のバージョン
- OpenSSL 1.0.2zf より前のバージョン
日立
|
OpenSSL 1.1.0 はサポートが終了しているため、本脆弱性の評価を実施していないとのことです。
本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。
|
|
c_rehash スクリプトは、一部のオペレーティングシステムでは自動的に実行されるため、このようなオペレーティングシステムでは第三者によってスクリプトの実行権限で任意のコマンドを実行される可能性があります。
|
|
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性への対策版として次のバージョンをリリースしています。
* OpenSSL 3.0.4
* OpenSSL 1.1.1p
* OpenSSL 1.0.2zf (プレミアムサポートを契約したユーザーのみ)
OpenSSL 1.0.2 系はサポートが終了しているため、プレミアムサポートを契約したユーザを除きアップデートは提供されません。
開発者は、OpenSSL 1.0.2 プレミアムサポートを契約したユーザ以外に対しては、OpenSSL 3.0 系もしくは 1.1.1 系へのアップデートを推奨しています。
|
|
OpenSSL Project
三菱電機
日立
|
|
- コマンドインジェクション(CWE-77) [その他]
|
|
- CVE-2022-2068
|
|
- JVN : JVNVU#92867820
- JVN : JVNVU#90782730
- JVN : JVNVU#99464755
- JVN : JVNVU#95292697
- National Vulnerability Database (NVD) : CVE-2022-2068
- ICS-CERT ADVISORY : ICSA-23-017-03
- ICS-CERT ADVISORY : ICSA-23-166-11
- ICS-CERT ADVISORY : ICSA-23-194-01
|
|
- [2022年06月23日]
掲載
- [2022年10月04日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:日立 (hitachi-sec-2022-219) を追加
- [2022年11月16日]
ベンダ情報:三菱電機 (GT SoftGOT2000 における OpenSSL に起因する悪意のあるコマンドが実行される脆弱性) を追加
ベンダ情報:三菱電機 (脆弱性に関する情報) を追加
- [2023年01月16日]
参考情報:JVN (JVNVU#90782730) を追加
- [2023年01月19日]
参考情報:ICS-CERT ADVISORY (ICSA-23-017-03) を追加
- [2022年06月16日]
参考情報:JVN (JVNVU#99464755) を追加
参考情報:ICS-CERT ADVISORY (ICSA-23-166-11) を追加
参考情報:National Vulnerability Database (NVD) (CVE-2022-2068)
- [2023年07月18日]
参考情報:JVN (JVNVU#95292697) を追加
参考情報:ICS-CERT ADVISORY (IICSA-23-194-01) を追加
|
