ビジネスサポートポータルアカウントでログイン
 

アラート/アドバイザリ:OpenSSL 3.x の X.509 における Email アドレスに関連するバッファオーバーフローの脆弱性について (CVE-2022-3602, CVE-2022-3786)

    • 更新日:
    • 21 Nov 2022
    • 製品/バージョン:
    • OS:
概要
Open SSLのプロジェクトチームは2022年の11月1日に、X.509のEmail アドレスに関連するバッファオーバーフローの脆弱性を正式に公開いたしました (CVE-2022-3602 and CVE-2022-3786)。

速報では、深刻度が「緊急(Critical)」の脆弱性として取り扱われていましたが、より詳細な調査の結果、深刻度は「重要(High)」に下がりました。しかしながら、利用者は新しく公開された 3.0.7のバージョンを適用することを推奨されます。

トレンドマイクロでは、今回公開されたパッチと入手可能な情報を精査し、どのような事前対策が可能かを検討しています。 現時点では、これらの脆弱性のいずれについても、悪用された事例は確認されていません。
詳細
Public

本脆弱性の背景情報

OpenSSLは、コンピュータネットワーク上の通信を盗聴から保護したり通信対象を同定するためのソフトウェアライブラリであり、HTTPSによるWebサイトなど、広くインターネットサーバで利用されています。

OpenSSL 3.0 は2021年9月にリリースされ、この最新版は一般的なLinuxディストリビューションにも含まれています。OpenSSLは、インターネットからの侵入を防ぐために使用されるセキュリティ技術にも広く使用されていますが、使用状況によってバージョンが大きく異なる場合があります。

より具体的な背景については、以下のトレンドマイクロブログをご参照ください。
OpenSSL 3.0.7の脆弱性(CVE-2022-3602, CVE-2022-3786)および修正対応に関する最新情報

OpenSSLのバージョンを確認する一般的な方法としては、以下のコマンドを実行する方法があります。

openssl version

注意:上記のコマンドは、直接インストールされたOpenSSLのみを対象としており、商用アプリケーションの一部として特定のライブラリのみが組み込まれている場合などには機能しません。このような場合には、各アプリケーションのベンダーに、最新の情報をご確認ください。

トレンドマイクロ製品で調査を行う方法

この脆弱性に対して、お客様がどのような対策を講じればよいのかご案内いたします。

Trend Micro Vision One™

Trend Micro Vision Oneをご利用のお客様は、Risk InsightのExecutive Dashboardを確認することで、潜在的に影響を受けるデバイスについて確認することができます。また、トレンドマイクロ製品で利用可能な防御/検出ルールが作成された場合、こちらの機能から確認することができます。

Risk Insight> Executive Dashboard (> 露出の概要タブ)

 

「詳細を表示」をクリックすることで、詳細な情報を確認することができます。
image.png
注意:先述のコマンドと同様に、本機能で確認できる端末は、直接インストールされたOpenSSLのみを対象としており、商用アプリケーションの一部として特定のライブラリのみが組み込まれている場合などには機能しません。

 

トレンドマイクロ製品による防御・検知

トレンドマイクロでは、本脆弱性、およびその悪用に関連するコンポーネントについて検知・防護するルールを提供しています。

Trend Micro Cloud One - Workload Security and Deep Security IPS Rules
  • Rule 1011590OpenSSL 'ossl_punycode_decode' Buffer Overflow Vulnerability (CVE-2022-3602) - Server
  • Rule 1011591OpenSSL 'ossl_punycode_decode' Buffer Overflow Vulnerability (CVE-2022-3602) - Client
  • Rule 1011596OpenSSL 'ossl_punycode_decode' Buffer Overflow Vulnerability (CVE-2022-3786) - Client
  • Rule 1011597OpenSSL 'ossl_punycode_decode' Buffer Overflow Vulnerability (CVE-2022-3786) - Server
 

脆弱性の影響を受ける製品/コンポーネント/ツール

トレンドマイクロでは、現在、OpenSSL 3.xの影響を受けるバージョンを持つ可能性のある製品およびサービスの一覧を作成しています。影響を受ける製品や脆弱性が発見された場合、対策の情報と合わせてここに記載を行う予定です。

影響を受けない製品/コンポーネント/ツール
製品/コンポーネント/ツール影響の有無
ウイルスバスター  ビジネスセキュリティ影響なし
Cloud Edge影響なし
Cloud One - Application Security影響なし
Cloud One - Conformity影響なし
Cloud One - Container Security影響なし
Cloud One - File Storage Security影響なし
Cloud One - Network Security影響なし
Cloud One - Workload Security影響なし
Cloud One - User Management影響なし
Cloud One - Subscription影響なし
Deep Discovery Analyzer影響なし
Deep Discovery Director影響なし
Deep Discovery Inspector影響なし
DDAaaS影響なし
InterScan for Microsoft Exchange影響なし
InterScan WebManager影響なし
InterScan Web Security Suite影響なし
InterScan Web Security Virtual Appliance影響なし
Network VirusWall Enforcer影響なし
Portal Protect影響なし
Deep Discovery Email Inspector影響なし
InterScan Messaging Security Suite影響なし
InterScan Messaging Security Virtual Appliance影響なし
ServerProtect For EMC Celerra影響なし
ServerProtect For Linux影響なし
ServerProtect For Microsoft Windows影響なし
ServerProtect For Network Appliance Filers影響なし
ServerProtect For Storage影響なし
TippingPoint影響なし
Trend Micro Apex Central影響なし
Trend Micro Deep Security影響なし
Trend Micro Email Security影響なし
Trend Micro Mobile Security影響なし
Trend Micro Policy Manager影響なし
Trend Micro Portable Security影響なし
Trend Micro Remote Manager影響なし
Trend Micro Safe Lock影響なし
Trend Micro Safe Lock TXOne Edition影響なし
Trend Micro USB Security影響なし
Trend Micro Web Security影響なし
Trend Micro Virtual Patch for Endpoint※1
TXOne - EdgeFire影響なし
TXOne - EdgeIPS影響なし
TXOne - EdgeIPS Pro影響なし
TXOne - ODC影響なし
TXOne - StellarEnforce影響なし
TXOne - StellarOne影響なし
TXOne - StellarProtect影響なし
ウイルスバスターモバイル影響なし
ウイルスバスター for Home Network影響なし
ウイルスバスター for Mac影響なし
スマートホームスキャナー影響なし
トレンドマイクロアカウント影響なし
トレンドマイクロオンラインスキャン影響なし
パスワードマネージャー影響なし
フリーWi-Fiプロテクション影響なし
SHN Module/SHN DPI Engine影響なし
Trend Micro NAS Security影響なし
Trend Micro Smart Protection Server影響なし

※1:製品プログラムの修正対応期間がすでに終了しているため、調査を行いません。後継製品への移行をご検討ください。詳しくは「Trend Micro Virtual Patch for Endpoint 2.0 プログラム修正期限およびサポートポリシーに関して 」をご覧ください。
 

更新情報

2022年11月21日 影響を受けない製品/コンポーネント/サービス を追記
2022年11月10日 影響を受けない製品/コンポーネント/サービス を追記
2022年11月04日 「より具体的な背景」に関するアドバイザリのリンク先を更新
2022年11月02日 誤字訂正
2022年11月02日 公開
Premium
Internal
Partner
評価:
カテゴリ:
SPEC
Solution Id:
000291753
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!


*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド