プライム・ストラテジー「KUSANAGI」開発チームの石川です。
今回は先日公開されたOpenSSL 3.0.7で修正された脆弱性CVE-2022-3602を起点にバッファオーバーフローに関して少し詳しくお話したいと思います。
OpenSSL 3.0.7は2022年11月1にopenbsd.orgからリリースされたOpenSSLの最新版で、以下の2つのセキュリティアドバイザリーに対応しています。
X.509 Email Address 4-byte Buffer Overflow(CVE-2022-3602)
X.509 Email Address Variable Length Buffer Overflow(CVE-2022-3786)
両方とも重要度「High」の脆弱性ですが、CVE-2022-3602は当初は重要度「Critical」としてアナウンスされたため、一時注目が集まりました。最終的には重要度「High」に引き下げられましたが、今回はこの脆弱性の概要とそれがどうして重要度「Critical」から「High」となったのかを解説します。
(コラム本文は以下をご覧ください)
https://ascii.jp/elem/000/004/113/4113790/
