2022 年のベスト: OpenSSL の重大な脆弱性: おびえるべきですか? from securityboulevard.com

10 月 25 日火曜日、v3.0.X ブランチ内に存在する重大な脆弱性にパッチを適用する新しい OpenSSL ホット フィックス リリースが発表されました。
OpenSSL 3.0.7 は 11 月 1 日火曜日にリリースされ、同時に脆弱性の詳細と関連する CVE が公開されます。
ありがたいことに、OpenSSL の使用の大部分は依然としてプロジェクトの維持されている v1 ブランチに存在しており、この脆弱性は v3 ブランチにのみ影響します。
しかし、最近の「Spring4Shell」や「Text4Shell」などの「名前付き」脆弱性の急増で見られるように、重大な脆弱性が常に重大であるとは限りません。
OpenSSL はセキュリティの問題を評価しており、クリティカルが発行されるためには、脆弱性が共通の構成に影響を与える必要があり、秘密鍵の開示につながるか、リモートで簡単に悪用されることがわかります。
この今後の脆弱性が、2016 年に発生した最後の重大な OpenSSL 脆弱性のようなものである場合、Log4Shell よりも兵器化がはるかに困難になります。