OpenSSLにリモートメモリ破壊の脆弱性、深刻度が緊急の可能性も
セキュリティ研究者によって、先日公開された「OpenSSL version 3.0.4」がリモート攻撃によるメモリ破壊に対して脆弱な疑いがあるとの指摘が公開された。この問題はAVX512 をサポートするx64システムが影響を受けるとされている。詳細は「Notes on OpenSSL remote memory corruption - Guido Vranken」において公開されている。
影響が指摘されているのはOpenSSL 3.0.4で、BoringSSL、LibreSSLおよびOpenSSL 1.1.1ブランチは影響を受けないとされている。この問題はすでにリポジトリで修正されているものの、新しいバージョンはまだ公開されていない。
研究者は現状について「やや奇妙なことに、ほとんど誰もこのことについて話題にしていない (Somewhat peculiarly, almost nobody is talking about this.)」と、重要な事態だと考えられるものの、それに対してさほど話題になっていないことを指摘している。この脆弱性の悪用によりリモートコード実行が可能だった場合、その深刻度はHeartbleedよりも大きなことになるとされている。
ただし、多くのユーザーが依然として3系ではなく1.1.1系を使っていること、LibreSSLやBoringSSLといった派生ソフトウェアが存在していること、まだ問題の存続期間が1週間であること、CPUがAVX512の機能を持っていることなどの条件が加わるため、Heartbleedよりも影響範囲がはるかに小さな点も説明されている。また、研究者自身の推測に誤りがある可能性にも言及されている。
今後この問題についてOpenSSLがどのように対処するか注目するとともに、新しいバージョンがリリースされたときは迅速に内容を確認し、必要に応じてアップデートなどの対応を取ることが望まれる。
影響が指摘されているのはOpenSSL 3.0.4で、BoringSSL、LibreSSLおよびOpenSSL 1.1.1ブランチは影響を受けないとされている。この問題はすでにリポジトリで修正されているものの、新しいバージョンはまだ公開されていない。
研究者は現状について「やや奇妙なことに、ほとんど誰もこのことについて話題にしていない (Somewhat peculiarly, almost nobody is talking about this.)」と、重要な事態だと考えられるものの、それに対してさほど話題になっていないことを指摘している。この脆弱性の悪用によりリモートコード実行が可能だった場合、その深刻度はHeartbleedよりも大きなことになるとされている。
ただし、多くのユーザーが依然として3系ではなく1.1.1系を使っていること、LibreSSLやBoringSSLといった派生ソフトウェアが存在していること、まだ問題の存続期間が1週間であること、CPUがAVX512の機能を持っていることなどの条件が加わるため、Heartbleedよりも影響範囲がはるかに小さな点も説明されている。また、研究者自身の推測に誤りがある可能性にも言及されている。
今後この問題についてOpenSSLがどのように対処するか注目するとともに、新しいバージョンがリリースされたときは迅速に内容を確認し、必要に応じてアップデートなどの対応を取ることが望まれる。
