本脆弱性の背景情報
OpenSSLは、コンピュータネットワーク上の通信を盗聴から保護したり通信対象を同定するためのソフトウェアライブラリであり、HTTPSによるWebサイトなど、広くインターネットサーバで利用されています。
OpenSSL 3.0 は2021年9月にリリースされ、この最新版は一般的なLinuxディストリビューションにも含まれています。OpenSSLは、インターネットからの侵入を防ぐために使用されるセキュリティ技術にも広く使用されていますが、使用状況によってバージョンが大きく異なる場合があります。
より具体的な背景については、以下のトレンドマイクロブログをご参照ください。
OpenSSL 3.0.7の脆弱性(CVE-2022-3602, CVE-2022-3786)および修正対応に関する最新情報
OpenSSLのバージョンを確認する一般的な方法としては、以下のコマンドを実行する方法があります。
openssl version
注意:上記のコマンドは、直接インストールされたOpenSSLのみを対象としており、商用アプリケーションの一部として特定のライブラリのみが組み込まれている場合などには機能しません。このような場合には、各アプリケーションのベンダーに、最新の情報をご確認ください。
トレンドマイクロ製品で調査を行う方法
この脆弱性に対して、お客様がどのような対策を講じればよいのかご案内いたします。
Vision One のコンソールにログインし、Assessment > Security Assessment に移動し、OpenSSLの脆弱性診断を開始します。
Trend Vision One™
脆弱性診断が完了すると、潜在的に影響を受けるデバイスについて確認することができます。また、トレンドマイクロ製品で利用可能な防御/検出ルールが作成された場合、こちらの機能から確認することができます。Security Assessment> OpenSSL 3.0.0~3.0.6 の脆弱性
注意:先述のコマンドと同様に、本機能で確認できる端末は、直接インストールされたOpenSSLのみを対象としており、商用アプリケーションの一部として特定のライブラリのみが組み込まれている場合などには機能しません。
トレンドマイクロ製品による防御・検知
トレンドマイクロでは、本脆弱性、およびその悪用に関連するコンポーネントについて検知・防護するルールを提供しています。Trend Micro Cloud One - Workload Security and Deep Security IPS Rules
- Rule 1011590OpenSSL 'ossl_punycode_decode' Buffer Overflow Vulnerability (CVE-2022-3602) - Server
- Rule 1011591OpenSSL 'ossl_punycode_decode' Buffer Overflow Vulnerability (CVE-2022-3602) - Client
- Rule 1011596OpenSSL 'ossl_punycode_decode' Buffer Overflow Vulnerability (CVE-2022-3786) - Client
- Rule 1011597OpenSSL 'ossl_punycode_decode' Buffer Overflow Vulnerability (CVE-2022-3786) - Server
脆弱性の影響を受ける製品/コンポーネント/ツール
トレンドマイクロでは、現在、OpenSSL 3.xの影響を受けるバージョンを持つ可能性のある製品およびサービスの一覧を作成しています。影響を受ける製品や脆弱性が発見された場合、対策の情報と合わせてここに記載を行う予定です。影響を受けない製品/コンポーネント/ツール
| 製品/コンポーネント/ツール | 影響の有無 |
|---|---|
| ウイルスバスター ビジネスセキュリティ | 影響なし |
| ウイルスバスター ビジネスセキュリティサービス | 影響なし |
| Cloud Edge | 影響なし |
| Cloud One - Application Security | 影響なし |
| Cloud One - Conformity | 影響なし |
| Cloud One - Container Security | 影響なし |
| Cloud One - File Storage Security | 影響なし |
| Cloud One - Network Security | 影響なし |
| Cloud One - Workload Security | 影響なし |
| Cloud One - User Management | 影響なし |
| Cloud One - Subscription | 影響なし |
| Deep Discovery Analyzer | 影響なし |
| Deep Discovery Director | 影響なし |
| Deep Discovery Inspector | 影響なし |
| DDAaaS | 影響なし |
| InterScan for Microsoft Exchange | 影響なし |
| InterScan WebManager | 影響なし |
| InterScan Web Security Suite | 影響なし |
| InterScan Web Security Virtual Appliance | 影響なし |
| Network VirusWall Enforcer | 影響なし |
| Portal Protect | 影響なし |
| Deep Discovery Email Inspector | 影響なし |
| InterScan Messaging Security Suite | 影響なし |
| InterScan Messaging Security Virtual Appliance | 影響なし |
| InterScan for (IBM/Lotus) Domino Linux版 | 影響あり(※2) (修正版リリース済) |
| ServerProtect For EMC Celerra | 影響なし |
| ServerProtect For Linux | 影響なし |
| ServerProtect For Microsoft Windows | 影響なし |
| ServerProtect For Network Appliance Filers | 影響なし |
| ServerProtect For Storage | 影響なし |
| TippingPoint | 影響なし |
| Trend Micro Apex Central | 影響なし |
| Trend Micro Deep Security | 影響なし |
| Trend Micro Email Security | 影響なし |
| Trend Micro Cloud App Security | 影響なし(修正済み) |
| Trend Micro Mobile Security | 影響なし |
| Trend Micro Policy Manager | 影響なし |
| Trend Micro Portable Security | 影響なし |
| Trend Micro Remote Manager | 影響なし |
| Trend Micro Safe Lock | 影響なし |
| Trend Micro Safe Lock TXOne Edition | 影響なし |
| Trend Micro USB Security | 影響なし |
| Trend Micro Web Security | 影響なし |
| Trend Micro Virtual Patch for Endpoint | ※1 |
| TXOne - EdgeFire | 影響なし |
| TXOne - EdgeIPS | 影響なし |
| TXOne - EdgeIPS Pro | 影響なし |
| TXOne - ODC | 影響なし |
| TXOne - StellarEnforce | 影響なし |
| TXOne - StellarOne | 影響なし |
| TXOne - StellarProtect | 影響なし |
| ウイルスバスターモバイル | 影響なし |
| ウイルスバスター for Home Network | 影響なし |
| ウイルスバスター for Mac | 影響なし |
| スマートホームスキャナー | 影響なし |
| トレンドマイクロアカウント | 影響なし |
| トレンドマイクロオンラインスキャン | 影響なし |
| パスワードマネージャー | 影響なし |
| フリーWi-Fiプロテクション | 影響なし |
| SHN Module/SHN DPI Engine | 影響なし |
| Trend Micro NAS Security | 影響なし |
| Trend Micro Smart Protection Server | 影響なし |
| Trend Micro Endpoint Sensor | 影響なし |
| Trend Micro Apex One | 影響なし |
| Trend Micro Apex One SaaS | 影響なし |
| Trend Micro Vision One | 影響なし |
※1:製品プログラムの修正対応期間がすでに終了しているため、調査を行いません。後継製品への移行をご検討ください。詳しくは「Trend Micro Virtual Patch for Endpoint 2.0 プログラム修正期限およびサポートポリシーに関して 」をご覧ください。
※2:修正版モジュールの提供については、サポート窓口までお問い合わせください。
更新情報
2023年 2月20日 製品/コンポーネント/サービス を追記2023年 1月27日 影響を受けない製品/コンポーネント/サービス を追記
2022年12月13日 影響を受けない製品/コンポーネント/サービス を追記
2022年12月05日 影響を受けたい製品/コンポーネント/サービス を追記
2022年11月21日 影響を受けない製品/コンポーネント/サービス を追記
2022年11月10日 影響を受けない製品/コンポーネント/サービス を追記
2022年11月04日 「より具体的な背景」に関するアドバイザリのリンク先を更新
2022年11月02日 誤字訂正
2022年11月02日 公開