セキュリティ アドバイザリ: 重要度の高い OpenSSL の脆弱性

更新: 2022年11月01日午後12時57分PDT

OpenSSLプロジェクトは、CVE-2022-3602とCVE-2022-3786の2つの重大度の高い脆弱性を公式に開示しました。 これらの CVE は、3.0 以降のすべての OpenSSL バージョンに影響します。 唯一の例外はバージョン3.0.7です。 これらの最新の脆弱性に対する修正が含まれています。 以前は、これらのCVEは「重大」であると考えられていました。


以下のタイトルと元の投稿 (2022年10月27日執筆) が更新されました。

彼らは何ですか?

CVE-2022-3602は、任意の4バイトのスタックバッファオーバーフローであり、クラッシュを引き起こしたり、リモートコード実行(RCE)を許可したりする可能性があります。 一方、攻撃者は悪意のある電子メールアドレスを介してCVE-2022-3786を悪用し、バッファオーバーフローを介してサービス拒否(DoS)状態を引き起こす可能性があります。

事前発表では、OpenSSLプロジェクトのセキュリティガイドラインに従って、この脆弱性が「重大」と見なされることが予想されていました。 それ以来、OpenSSLプロジェクトは 、更新されたアドバイザリでこれらの脆弱性を「高」の重大度に格下げしました。 いずれにしても、プロジェクトはできるだけ早くOpenSSL 3.0.7に更新することを推奨しています。

Docker は、さまざまな Docker 公式イメージおよび Docker 検証済みパブリッシャー イメージで約 1,000 のイメージ リポジトリが影響を受ける可能性があると推定しています。 これには、OpenSSL の 3.x バージョンをインストールする Debian 12、Ubuntu 22.04、および Redhat Enterprise Linux 9+ のバージョンに基づくイメージが含まれます。 Node.js 18 および 19 を使用するイメージも影響を受けます。

影響を受けたイメージを迅速に修復できるように、ユーザーを更新しています。

私は脆弱ですか?

OpenSSLの脆弱性の詳細が公開されたので、パブリックリポジトリとプライベートリポジトリが影響を受けるかどうかを確認する時が来ました。 Docker は、公式の CVE にリンクする両方の OpenSSL CVE を参照するプレースホルダーを作成しました。 

Heartbleedと同様に、OpenSSLのメンテナは、修正が到着するまで、どのような情報を公開するかを慎重に検討しました。これで、自分自身をより適切に保護できます。 画像のセキュリティ上の欠陥を迅速かつ透過的に分析する方法を作成しました。

Dockerの 画像脆弱性データベースにアクセスし、[脆弱性検索]タブに移動して、「DSA-2022-0001」と呼ばれるプレースホルダーセキュリティアドバイザリを検索します。 また、このツールを使用して、他の脆弱性が検出されたときに確認したり、更新を受信して古い基本イメージを更新したりすることもできます。

幸いなことに、あなたはあなたがどれほど脆弱であるかを判断するために的を絞った措置を講じることができます。 CLI コマンドと Snyk の Docker Hub 脆弱性スキャン ツールを使用することをお勧めします docker scan 。これは、脆弱なライブラリバージョンの存在を検出し、イメージに脆弱としてフラグを付けるのに役立ちます。

あるいは、Docker は Docker イメージ内の OpenSSL 3.x を検出するための実験的なローカル ツールを提供しています。 このツールは、 GitHub リポジトリからインストールできます。 次に、次のコマンドを使用して、OpenSSL 3.xバージョンのイメージを検索できます。

$ docker-index cve --image gradle@sha256:1a6b42a0a86c9b62ee584f209a17d55a2c0c1eea14664829b2630f28d57f430d DSA-2022–0001 -r

イメージに脆弱な OpenSSL バージョンが含まれている場合、ターミナル出力は次のようになります。

ドッカーインデックスcve出力

また、Docker がイメージ内で脆弱なバージョンの OpenSSL を検出しない場合は、次のように表示されます。

DSA-2022-0001 not detected

今すぐ更新して保護してください

これらの最新のCVEがダウングレードされたことを嬉しく思いますが、すべての主要な脆弱性を非常に真剣に受け止めることが重要です。 OpenSSLバージョン3.0.7に更新して、これらのバグを解消し、アプリケーションを強化することを忘れないでください。 

また、 早期アクセスプログラムにサインアップ して、このブログで説明されているツールにアクセスし、改善に役立つ貴重な製品フィードバックを提供する機会を得ることをお勧めします。