OpenSSLで史上2度目の「致命的」レベルの脆弱性が発見される、2022年11月1日夜間に修正版がリリースされるため即更新を

OpenSSLに重大度「CRITICAL(致命的)」の脆弱(ぜいじゃく)性が発見されました。脆弱性への対応は迅速に行われており、日本時間の2022年11月1日22時～2022年11月2日4時の間に修正版の「OpenSSL 3.0.7」が公開予定です。OpenSSLに重大度「CRITICAL」の脆弱性が発見されたのは、2014年に報告されて世界中を騒がせた「Heartbleed」に続いて史上2回目。修正版のリリース後には、速やかにアップデートを適用する必要があります。【2022年11月2日追記】その後の分析の結果、OpenSSL 3.0.7で修正された脆弱性の重大度は「HIGH(CRITICALの1段階下)」に修正されました。 Forthcoming OpenSSL Releases https://mta.openssl.org/pipermail/openssl-announce/202

[Sampo]

インフラをAWSに移しておいて、こういう事件のときに対処する必要がないってのは圧倒的なメリットだったわなーという感想

[circled]

ubuntuならunattended-upgrade入れとけば管理者が寝ててもデフォで勝手にセキュリティアップデートだけはいつでも適用されてるよ(設定まだの人は /etc/apt/ 配下の設定とか見直しとけ)

[nikoli]

予告が早かったために「この脆弱性による貴社での影響の有無をお知らせください」との問い合わせが昨日やってきた。誰も答えられないって…

[prograti]

AWSの情報はこちら。全く影響が無いわけではないです。これ以外にも使用しているOSとかに依存しますしね。 https://aws.amazon.com/jp/security/security-bulletins/AWS-2022-008/

[sora_h]

このアナウンスあったのは先週だしそれを今になって記事にするのもなあ。そして3.0.7リリースはHIGHに下方修正されてる。

[daishi_n]

OpenSSLを使用せずにSSL/TLS通信を実装しているミドルウェアやサービスはごく少数なので、何らかのアップデートが入るだろうね。最重要なOSSの一つなのにヒト・カネ・モノの体制が脆弱なのが大問題

[programmablekinoko]

実運用上殆ど問題ないと思われる。殆どのLTS版は1系では

[ya--mada]

gnutls/nss/libreなどもいるので、昔ほどopenssl依存ではないので、逆に影響範囲を調べるのが大変だなぁって思う。

[uunfo]

「日本時間の2022年11月1日22時～2022年11月2日4時の間に修正版の「OpenSSL 3.0.7」を公開予定」「バージョン3系と並行してバージョン1系もメンテナンスされていますが、バージョン1系は今回発見された脆弱性の影響を受けない」

[kachine]

手元の環境ではUbuntu18.04 / Ubuntu20.04は1系なので影響なし、Windows標準のオプション機能からインストールできる奴がOpenSSH_for_Windows_8.1p1, LibreSSL 3.0.2なのだが、影響あるのだろうか？

[cu39]

「バージョン1系は今回発見された脆弱性の影響を受けないとのこと」

[k-holy]

自分が触っている環境では、最近構築したばかりのRHEL 9 ベースのAlmaLinux 9が該当。(OpenSSH_8.7p1, OpenSSL 3.0.1)まあ影響ある人は少なそうだけど、「テスト版」ではないのでは？

[pmakino]

「詳細な分析の結果、重大度をHIGH(CRITICALの1段階下)に引き下げた」にもかかわらずセンセーショナルな見出しはそのままでミスリードを煽り続けるGIGAZINE

[queeuq]

tls終端する場合の問題ならalbやらでやっちゃうし前回とはだいぶ状況変わったなーと手元のシステム見て思った

[canadie]

緊急度はCRITICALからHIGHに下がった。当然だと思うんだけどこういう時にこの手のサイトを参考にしてはいけない

[taguch1]

家の環境は対応済みです。

[raitu]

"今回発見された脆弱性は、Heartbleedと同様に重大度「CRITICAL」に位置付けられており、記事作成時点では詳細が公表されていません"現時点ではHIGHに格下げとのこと。テスト版のv3系が対象。

[kitone]

Highに変更、3.x系

[Andrion]

v3はテスト版だぞ。運用で使ってるとこなんて殆どないだろ

[shikiarai]

まさかEC2使ってAWSで良かったとか馬鹿なこと言ってる奴おらんでしょ

[ch0ge]

HIGHにダウングレード済。 証明書内のメールアドレス検証で起きるので、①クライアント証明書の認証、②証明書を乗っ取られているサーバーにつなぎにいく、の2パターンで発生しそう

[manFromTomorrow]

派手な見出しでランク上がってるけどCriticalからHighに下方修正されてるので各位慌てず騒がず粛々とご対応頂ければよいのではないかと

[quabbin]

対象はCVE-2022-3786。CRITICAL予定が、HIGHにダウングレードした模様。Cloud系はVMのベースイメージやコンテナのベースイメージに影響あり。ロードバランササービスでSSLオフロードしている場合は、気にしなくてもよいかな

[tenderfox]

Ubuntu 22.04以降をベースにしたDockerイメージもOpenSSLを使ってたら影響を受けるんじゃないかな

[civicpg]

AWSだからセーフなのってlambdaとかでEC2もECSも要チェックだよ

[zoidstown]

“OpenSSLはバージョン3系と並行してバージョン1系もメンテナンスされていますが、バージョン1系は今回発見された脆弱性の影響を受けないとのことです”

[ks2091tk]

AWSでもEC2とかコンテナ動かしてるなら、ミドル/OSの管理は利用者側じゃないっけ。それな便利な脆弱性対策ツールあるのか？

[ultimatebreak]

本日から旅行につき不在となりますのでご了承ください

[fashi]

あえて最新版入れようとしなけりゃまだVer.1のほうが多いんでは

[wiz7]

ヒェッ、明日は朝から祭かよ。。

[azzr]

うちはまだ1系だった。世の中的にはどれくらい3系に移ってるんだろう。

[kubecorn]

対象確認せずにやたら騒ぎ立てるだけ騒ぎ立てる人が多そうで辟易する。

[ET777]

んんん

[mini_big_foo]

1系のほうが使ってる人多そうだから前みたいなお祭りはあまり発生しなさそう

[kagehiens]

まてまてまてまて、またか！？／しかし、考えてみると「詳細は明かせないけどライブラリを入れ替えてください」って凄い話だな。それ自体が罠だったら映画になるレベルかも。

[pascal256]

明日はお祭りかなー