セキュリティアドバイザリ:OpenSSL バッファオーバーフローの脆弱性
| アドバイザリ ID: | appd-sa-openssl-W9sdCc2a |
CVE-2022-3602 CVE-2022-3786 | |
| 初版: |
2022 年 11 月 2 日 18:00 PDT | ||
| 最終更新日: | 2022 年 11 月 3 日 16:00 PDT | ||
| バージョン 1.0: | Final | ||
| 回避策: |
回避策はありません | ||
| CVSSスコア: | Base 7.5 |
概要
2022 年 11 月 1 日、OpenSSL プロジェクトは、OpenSSL バージョン 3.0.0 ~ 3.0.6 に影響を与える 2 つの脆弱性(CVE-2022-3786 と CVE-2022-3602)を発表しました。これらの脆弱性に対処するために、OpenSSL バージョン 3.0.7 がリリースされました。
どちらの脆弱性も、OpenSSL が X.509 証明書検証をどのように実行するかに関連して存在します。CVE-2022-3786 は、重大度の高い脆弱性です。CVE-2022-3602 は当初、重大度がクリティカルに分類されていましたが、後に OpenSSL セキュリティチームによって高にダウングレードされました。詳細については、OpenSSL Project(https://www.openssl.org/News/secadv/20221101.txt)を参照してください。
AppDynamics ではこれらの脆弱性を迅速に分析しましたが、ソフトウェアへの影響は確認されていません。一部の AppDynamics 製品では、これらの脆弱性の影響を受けない OpenSSL バージョンが使用されています。
このアドバイザリは、オンプレミスの AppDynamics のお客様がデプロイし、適宜アクションを実行する必要がある製品に対処することを目的としています。
AppDynamics SaaS プラットフォームは継続的に監視され、改善されています。この脆弱性が SaaS のお客様に影響を与える場合は、標準規格のサポートチャネルを通じてお客様に直接ご連絡します。
その他のシスコ製品に関する質問については、「Cisco Public Advisory」を参照してください。
このアドバイザリは、次のリンクから入手できます。https://docs.appdynamics.com/display/PAA/Security+Advisory%3A+OpenSSL+Buffer+Overflow+Vulnerabilities
影響を受ける製品
これらの脆弱性の影響を受ける AppDynamics 製品は確認されていません。
不正利用事例と公式発表
AppDynamics は、このアドバイザリで説明されている脆弱性のエクスプロイトを認識していません。
ソース
これらの脆弱性は、2022 年 11 年 1 日に OpenSSL Project によって公開されました。
URL
マニュアルの変更履歴
| Version | 説明 | セクション | ステータス | 日付 |
|---|---|---|---|---|
| 1.0 | 初回公開リリース | — | Final |
2022 年 11 月 3 日 16:00 PDT |
このセキュリティアドバイザリに記載されているすべてのソフトウェアまたはリリース(パッチ、アップグレード、およびホットフィックスを含みますが、これらに限定されません)は、一切の保証なしで「現状のまま」で提供されます。AppDynamics は、商品適格性および特定目的への適合性の保証を含め、明示的、黙示的、法定、またはその他のいかなる表明または保証も否認します。いかなる場合においても、AppDynamics、その関連会社、またはそのサプライヤは、相手方が当該損害の可能性を知らされていたとしても、直接的、間接的、付随的、結果的、事業利益の損失、または特別損害を含むいかなる損害についても責任を負わないものとします。一部の州では結果的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限はお客様に適用されない場合があります。
このセキュリティアドバイザリで提供される情報は情報提供のみを目的としており、脆弱性管理などに関して AppDynamics とエンドユーザーとの既存の契約上の義務を変更するものとして解釈されることはありません。エンドユーザーにはこの規定を読み、AppDynamics ソフトウェアの特定の構成および使用例に関して、情報の適用性と影響を独自に分析することが推奨されます。