NVD脆弱性詳細

CVE-2022-2274

概要	The OpenSSL 3.0.4 release introduced a serious bug in the RSA implementation for X86_64 CPUs supporting the AVX512IFMA instructions. This issue makes the RSA implementation with 2048 bit private keys incorrect on such machines and memory corruption will happen during the computation. As a consequence of the memory corruption an attacker may be able to trigger a remote code execution on the machine performing the computation. SSL/TLS servers or other servers using 2048 bit RSA private keys running on machines supporting AVX512IFMA instructions of the X86_64 architecture are affected by this issue.
公表日	2022年7月1日17:15
登録日	2022年7月1日20:00
最終更新日	2024年11月21日16:00

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:openssl:openssl:3.0.4:::::::*

構成2		以上	以下	より上	未満
cpe:2.3:a:netapp:snapcenter:-:::::::*

関連情報、対策とツール

No	URL	タグ
1	https://git.openssl.org/gitweb/?p=openssl.git%3Ba=commitdiff%3Bh=4d8a88c134df634ba610ff8db1eb8478ac5fd345
2	https://git.openssl.org/gitweb/?p=openssl.git%3Ba=commitdiff%3Bh=4d8a88c134df634ba610ff8db1eb8478ac5fd345
3	https://github.com/openssl/openssl/issues/18625	Exploit Issue Tracking Third Party Advisory
4	https://github.com/openssl/openssl/issues/18625	Exploit Issue Tracking Third Party Advisory
5	https://security.netapp.com/advisory/ntap-20220715-0010/	Third Party Advisory
6	https://security.netapp.com/advisory/ntap-20220715-0010/	Third Party Advisory
7	https://www.openssl.org/news/secadv/20220705.txt	Vendor Advisory
8	https://www.openssl.org/news/secadv/20220705.txt	Vendor Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-787	境界外書き込み	https://cwe.mitre.org/data/definitions/787.html

JVN脆弱性情報

OPENSSL におけるメモリ破損の脆弱性

タイトル	OPENSSL におけるメモリ破損の脆弱性
概要	OPENSSL には、AVX512IFMA 命令をサポートする X86_64 CPU の RSA 実装に不備があり、2048 ビットの秘密鍵を使用した RSA 実装が正しくなくなるため、計算の際にメモリ破損の脆弱性が存在します。
想定される影響	攻撃者により、リモートでコードを実行される可能性があります
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2022年6月23日0:00
登録日	2022年9月27日16:15
最終更新日	2023年6月16日18:10

影響を受けるシステム

OpenSSL Project

OpenSSL 3.0.4

日本電気

NEC Cyber Security Platform Linux x86 版 NCSP エージェント 2.0.7.2 から 2.0.7.3

NEC Cyber Security Platform Linux x86 版 NCSP エージェント 3.0.0.2 から 3.0.0.5

SpoolServer/ReportFiling

UNIVERGE WA シリーズ 8.3.9 から 8.6.11

WitchyMail

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2022-2274	https://www.cve.org/CVERecord?id=CVE-2022-2274
National Vulnerability Database (NVD)
2	CVE-2022-2274	https://nvd.nist.gov/vuln/detail/CVE-2022-2274

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-787	https://cwe.mitre.org/data/definitions/787.html

ベンダー情報

No	名前	URL
Git
1	rsa: fix bn_reduce_once_in_place call for rsaz_mod_exp_avx512_x2	https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=4d8a88c134df634ba610ff8db1eb8478ac5fd345
NEC製品セキュリティ情報
2	NV22-012	https://jpn.nec.com/security-info/secinfo/nv22-012.html
OpenSSL Project
3	OpenSSL Security Advisory [5 July 2022]	https://www.openssl.org/news/secadv/20220705.txt

その他

No	名前	URL
ICS-CERT ADVISORY
1	ICSA-23-017-03	https://www.cisa.gov/uscert/ics/advisories/icsa-23-017-03
IPA SECURITY ALERTS
2	ICSA-23-166-11	https://www.cisa.gov/news-events/ics-advisories/icsa-23-166-11
JVN
3	JVNVU#90782730	https://jvn.jp/vu/JVNVU90782730/
4	JVNVU#96381485	https://jvn.jp/vu/JVNVU96381485/
5	JVNVU#99464755	https://jvn.jp/vu/JVNVU99464755/index.html

変更履歴

No	変更内容	変更日
5	[2023年04月25日] 影響を受けるシステム：ベンダ情報 (NV22-012) の更新に伴い内容を更新	2023年4月25日17:41
4	[2023年01月19日] 参考情報：ICS-CERT ADVISORY (ICSA-23-017-03) を追加	2023年1月19日15:49
3	[2023年01月16日] 参考情報：JVN (JVNVU#90782730) を追加	2023年1月19日15:49
6	[2022年06月16日] 参考情報：JVN (JVNVU#99464755) を追加参考情報：ICS-CERT ADVISORY (ICSA-23-166-11) を追加	2023年6月16日16:25
1	[2022年09月27日] 掲載	2022年9月27日16:15
2	[2022年12月13日] 影響を受けるシステム：ベンダ情報 (NV22-012) の更新に伴い内容を更新	2022年12月13日10:02