JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は6月22日、「JVNVU#92867820: OpenSSLのc_rehashスクリプトにおけるコマンドインジェクションの脆弱性」において、OpenSSLに脆弱性が報告されていることを伝えた。この脆弱性を悪用されると、攻撃者によって標的のシステム上で任意のコマンドを実行される危険性がある。

  • JVNVU#92867820: OpenSSLのc_rehashスクリプトにおけるコマンドインジェクションの脆弱性

    JVNVU#92867820: OpenSSLのc_rehashスクリプトにおけるコマンドインジェクションの脆弱性

該当する脆弱性はCVE-2022-1292として追跡されており、詳細はOpenSSLプロジェクトからの次のセキュリティアドバイザリにまとめられている。

c_rehashスクリプトは、OpenSSLに付属する、ディレクトリ内のすべてのファイルをスキャンするPerlスクリプトである。このc_rehashスクリプトに、シェルのメタ文字を適切にサニタイズしていない問題が含まれていたという。c_rehashスクリプトは一部のOSでは自動的に実行されるようになっているため、これを攻撃者に悪用されると、任意のコマンドをc_rehashスクリプトの権限で実行される危険性があるという。

CVE-2022-1292の影響を受けるOpenSSLのバージョンは次のとおり。

  • OpenSSL 3.0.4より前のバージョン
  • OpenSSL 1.1.1pより前のバージョン
  • OpenSSL 1.0.2zfより前のバージョン

なお、OpenSSL 1.1.0についてはすでにサポートが終了しているため、この脆弱性に関する評価は実施されていない。

OpenSSLを次のバージョンにアップデートすることでCVE-2022-1292の影響を回避することができる。

  • OpenSSL 3.0.4
  • OpenSSL 1.1.1p
  • OpenSSL 1.0.2zf(プレミアムサポートを契約したユーザーのみ利用可能)

OpenSSLプロジェクトでは、OpenSSL 1.0.2プレミアムサポートを契約したユーザー以外に対しては、OpenSSL 3.0系もしくは1.1.1系にアップデートすることを推奨している。また、アドバイザリによれば、c_rehashスクリプトはすでに時代遅れの機能であるため、もし使用している場合はrehashコマンドラインツールに置き換えるように警告している。