更新日 : 2024/05/31 08:49
CVSS v2- CVSS v37.5
【OpenSSL の X.509 ポリシー制限における二重ロックの問題】
2024年5月31日OpenSSL脆弱性情報が公開されました。
対応が必要か検討してください。
脆弱性情報の概要
OpenSSL Project より、<a href="https://www.openssl.org/news/secadv/20221213.txt"target="blank">OpenSSL Security Advisory [13 December 2022]</a> が公開されました。 OpenSSL には、次の脆弱性が存在します。 深刻度 - 低(Severity: Low) X.509 証明書に不正なポリシー制限が含まれていて、ポリシー処理が有効な場合、書き込みロックが二重に行われる問題があります。ポリシー処理を有効にするためには、コマンドラインユーティリティに「-policy」引数を渡すか、「X509_VERIFY_PARAM_add0_policy()」または「X509_VERIFY_PARAM_set1_policies()」関数を呼び出すことにより有効になります。なお、OpenSSL Project は公開サーバでポリシー処理を有効にすることは一般的な設定ではないとしています。
対象製品
製品:OpenSSL
企業:OpenSSL Project
深刻度(CVSS)
CVSS v2
-
CVSS v3
7.5

参考:CVSSの深刻度レベル
スコアCVSS v2CVSS v3
9.0~10.0危険緊急
7.0~8.9危険重要
4.0~6.9警告警告
0.1~3.9注意注意
0注意なし
リンク情報
JVN JVNDB-2022-002778
https://jvndb.jvn.jp/ja/contents/2022/JVNDB-2022-002778.html
JVN JVNVU#96155097
http://jvn.jp/vu/JVNVU96155097/index.html
CVE CVE-2022-3996
https://www.cve.org/CVERecord?id=CVE-2022-3996
NVD CVE-2022-3996
https://nvd.nist.gov/vuln/detail/CVE-2022-3996
CWE-667
http://cwe.mitre.org/data/definitions/667.html
日付情報
登録日
2024/05/31 08:49:00
最終更新日
2024/05/31 08:49:00
「OpenSSL」に関する直近の脆弱性情報
もっと見る >>