NVD Vulnerability Detail
Search Exploit, PoC
CVE-2022-3996
Summary

If an X.509 certificate contains a malformed policy constraint and
policy processing is enabled, then a write lock will be taken twice
recursively. On some operating systems (most widely: Windows) this
results in a denial of service when the affected process hangs. Policy
processing being enabled on a publicly facing server is not considered
to be a common setup.

Policy processing is enabled by passing the `-policy'
argument to the command line utilities or by calling the
`X509_VERIFY_PARAM_set1_policies()' function.

Update (31 March 2023): The description of the policy processing enablement
was corrected based on CVE-2023-0466.

Publication Date Dec. 14, 2022, 1:15 a.m.
Registration Date Dec. 14, 2022, 10 a.m.
Last Update Nov. 21, 2024, 4:20 p.m.
CVSS3.1 : HIGH
スコア 7.5
Vector CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃に必要な特権レベル(PR) 不要
利用者の関与(UI) 不要
影響の想定範囲(S) 変更なし
機密性への影響(C) なし
完全性への影響(I) なし
可用性への影響(A)
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:openssl:openssl:*:*:*:*:*:*:*:* 3.0.0 3.0.7
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
OpenSSL の X.509 ポリシー制限における二重ロックの問題
Title OpenSSL の X.509 ポリシー制限における二重ロックの問題
Summary

OpenSSL Project より、<a href="https://www.openssl.org/news/secadv/20221213.txt"target="blank">OpenSSL Security Advisory [13 December 2022]</a> が公開されました。 OpenSSL には、次の脆弱性が存在します。 深刻度 - 低(Severity: Low) X.509 証明書に不正なポリシー制限が含まれていて、ポリシー処理が有効な場合、書き込みロックが二重に行われる問題があります。ポリシー処理を有効にするためには、コマンドラインユーティリティに「-policy」引数を渡すか、「X509_VERIFY_PARAM_add0_policy()」または「X509_VERIFY_PARAM_set1_policies()」関数を呼び出すことにより有効になります。なお、OpenSSL Project は公開サーバでポリシー処理を有効にすることは一般的な設定ではないとしています。

Possible impacts 一部のオペレーティング システム (最も一般的なのは Windows) では、影響を受けるプロセスがハングし、サービス運用妨害(DoS)状態となる可能性があります。 
Solution

[ワークアラウンドを実施する] 開発者によると、本脆弱性の深刻度が低であるため、2022 年 12月 14 日現在、修正は提供されておらず、「commit 7725e7bfe」にて回避策を提示しているとのことです。また、OpenSSL 3.0 系のユーザは、OpenSSL 3.0.8 リリース後にアップデートが必要とのことです。

Publication Date Dec. 14, 2022, midnight
Registration Date Dec. 16, 2022, 10 a.m.
Last Update Dec. 16, 2022, 10 a.m.
Affected System
OpenSSL Project
OpenSSL 3.0.0 から 3.0.7
CVE (情報セキュリティ 共通脆弱性識別子)
ベンダー情報
その他
Change Log
No Changed Details Date of change
1 [2022年12月15日]   掲載 Dec. 15, 2022, 4:07 p.m.