• OpenSSL は、組織が OpenSSL 3.0 およびそれ以上のバージョンを利用中の場合、できるだけ早くパッチを適用することを推奨しています。
• 現在のところ、既存の悪用は確認されていません。
• 証明書の再発行や交換は必要ありません。
• この脆弱性によるDigiCertへの影響は確認されていません。

本日、OpenSSLプロジェクトチームは、バージョン3.0以降に存在する高レベルの重大な脆弱性に対処するための「セキュリティ修正プログラム 」（バージョン3.0.7）をリリースしました。OpenSSLは、一般的に使用されているオープンソースのソフトウェアライブラリであるため、OpenSSLの脆弱性は高い破壊力を持つ可能性があります。バージョン3.0は2021年9月にリリースされており、最近のバージョン3.0以降を使用しているもののみが影響を受けます。古いバージョンを使用しているアプリケーションは、本脆弱性の影響を受けません。ガイドを参考に、お使いのOpenSSLのバージョンをご確認ください。本脆弱性の影響を受けるソフトウェア、受けないソフトウェアの一覧は、こちら（ https://github.com/NCSC-NL/OpenSSL-2022/tree/main/software）をご確認ください。

OpenSSLは当初、CVE-2022-3602を、OpenSSLが定義する "一般的な構成に影響を与え、悪用される可能性も高い" 脆弱性として、最高の深刻度である「クリティカル」と表記していました。しかし、この脆弱性は、OpenSSLが定義する "致命的よりもリスクが低く、おそらく一般的ではない構成に影響を与え、悪用される可能性が低い" とする「高」の重要度に格下げされました。ただし、できるだけ早くアップグレードする必要があります。

DigiCertの顧客はどのような影響を受けるのか？

DigiCertの顧客やDigiCertの業務への影響は確認されていません。

リスクは何ですか？

現在、OpenSSLは、この脆弱性を悪用した既存の脆弱性を確認していません。OpenSSLは「信頼できないソースから受け取ったX.509証明書を検証するOpenSSL 3.0アプリケーションは、脆弱であると考えるべきである。これには、TLSクライアント、およびTLSクライアント認証を使用するように設定されたTLSサーバーが含まれます。」と発表しています。TLS/SSLサーバー証明書を交換する必要はありません。

どうすればよいですか？

OpenSSL 3.0以降が使用されていないかスキャンし、使用されている場合は、できるだけ早く3.0.7にアップグレードすることをお勧めします。さらに、サードパーティのアプリケーションを使用している場合は、ベンダーにOpenSSL 3.0以上を使用しているかどうかを確認し、必要な場合はパッチを適用するよう要請してください。また、新しいアプリケーションは、OpenSSL 3.0.7を使用する必要があります。

OpenSSL 3.0より前のバージョンを使用しているアプリケーションは、すぐにアップデートする必要はありませんが、OpenSSL 1.1.1が2023年9月11日までしかサポートされないことを管理者は認識しておく必要があります。また、OpenSSLは、すべてのユーザーが最新バージョンにアップデートすることを推奨しています。

本リリースに関する詳細は、OpenSSLブログでご確認ください。