OpenSSL 1.0.2< 1.0.2ze の脆弱性

critical Nessus プラグイン ID 160480

概要

リモートサービスは脆弱性の影響を受けます。

説明

リモートホストにインストールされている OpenSSL のバージョンは、1.0.2ze より前です。したがって、1.0.2ze のアドバイザリに記載されている脆弱性の影響を受けます。

- c_rehash スクリプトはシェルのメタ文字を適切にサニタイズしておらず、コマンドインジェクションを防ぎません。このスクリプトは、一部のオペレーティングシステムによって、自動的に実行される方法で配布されます。このようなオペレーティングシステムでは、攻撃者がスクリプトの権限で任意のコマンドを実行する可能性があります。c_rehash スクリプトの使用は旧式と考えられており、OpenSSL rehash コマンドラインツールで置き換える必要があります。
OpenSSL 3.0.3で修正されました (3.0.0、3.0.1、3.0.2 が影響を受けました)。OpenSSL 1.1.1o で修正されました (1.1.1-1.1.1n が影響を受けました)。
OpenSSL 1.0.2ze で修正されました (1.0.2-1.0.2zd が影響を受けました)。(CVE-2022-1292)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ頼っていることに注意してください。

ソリューション

OpenSSL バージョン 1.0.2ze 以降にアップグレードしてください。

関連情報

https://cve.org/CVERecord?id=CVE-2022-1292

http://www.nessus.org/u?d5a8df0f

https://www.openssl.org/news/secadv/20220503.txt

プラグインの詳細

深刻度: Critical

ID: 160480

ファイル名: openssl_1_0_2ze.nasl

バージョン: 1.4

タイプ: remote

ファミリー: Web Servers

公開日: 2022/5/4

更新日: 2022/5/12

リスク情報

VPR

リスクファクター: High

スコア: 8.4

CVSS v2

リスクファクター: Critical

Base Score: 10

Temporal Score: 7.4

ベクトル: AV:N/AC:L/Au:N/C:C/I:C/A:C

現状ベクトル: E:U/RL:OF/RC:C

CVSS スコアのソース: CVE-2022-1292

CVSS v3

リスクファクター: Critical

Base Score: 9.8

Temporal Score: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:openssl:openssl

必要な KB アイテム: openssl/port

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2022/5/3

脆弱性公開日: 2022/5/3

参照情報

CVE: CVE-2022-1292

IAVA: 2022-A-0186