OpenSSL 1.1.1 < 1.1.1q の脆弱性

medium Nessus プラグイン ID 162721

言語:

概要

リモートサービスは脆弱性の影響を受けます。

説明

リモートホストにインストールされている OpenSSL は、1.1.1q より前のバージョンです。したがって、1.1.1q のアドバイザリに記載されている脆弱性の影響を受けます。

 - AES-NI アセンブリ最適化実装を使用する 32 ビット x86 プラットフォームの AES OCB モードは、一部の状況でデータ全体を暗号化しません。これにより、書き込まれなかったメモリに既存の 16 バイトのデータが漏洩する可能性があります。インプレース暗号化の特別なケースでは、平文の 16 バイトが漏洩します。OpenSSL は、TLS および DTLS の OCB ベースの暗号化パッケージをサポートしていないため、どちらも影響を受けません。OpenSSL 3.0.5 で修正されました (3.0.0-3.0.4 が影響を受けました)。OpenSSL 1.1.1q で修正されました (1.1.1-1.1.1p が影響を受けます)。(CVE-2022-2097)

Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

OpenSSL バージョン 1.1.1q 以降にアップグレードしてください。

関連情報

https://cve.org/CVERecord?id=CVE-2022-2097

http://www.nessus.org/u?ba4a37ba

https://www.openssl.org/news/secadv/20220705.txt

プラグインの詳細

深刻度: Medium

ID: 162721

ファイル名: openssl_1_1_1q.nasl

バージョン: 1.5

タイプ: remote

ファミリー: Web Servers

公開日: 2022/7/5

更新日: 2022/10/18

リスク情報

VPR

リスクファクター: Low

スコア: 2.9

CVSS v2

リスクファクター: Medium

Base Score: 5

Temporal Score: 3.7

ベクトル: AV:N/AC:L/Au:N/C:P/I:N/A:N

現状ベクトル: E:U/RL:OF/RC:C

CVSS スコアのソース: CVE-2022-2097

CVSS v3

リスクファクター: Medium

Base Score: 5.3

Temporal Score: 4.6

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

現状ベクトル: E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:openssl:openssl

必要な KB アイテム: openssl/port

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2022/7/5

脆弱性公開日: 2022/7/5

参照情報

CVE: CVE-2022-2097

IAVA: 2022-A-0265-S