NVD脆弱性詳細

Exploit、PoC検索

NVD脆弱性検索トップ

->

NVD脆弱性詳細

CVE-2022-3996

概要	If an X.509 certificate contains a malformed policy constraint and policy processing is enabled, then a write lock will be taken twice recursively. On some operating systems (most widely: Windows) this results in a denial of service when the affected process hangs. Policy processing being enabled on a publicly facing server is not considered to be a common setup. Policy processing is enabled by passing the `-policy' argument to the command line utilities or by calling the `X509_VERIFY_PARAM_set1_policies()' function. Update (31 March 2023): The description of the policy processing enablement was corrected based on CVE-2023-0466.
公表日	2022年12月14日1:15
登録日	2022年12月14日10:00
最終更新日	2024年11月21日16:20

CVSS3.1 : HIGH
スコア	7.5
ベクター	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	不要
利用者の関与(UI)	不要
影響の想定範囲(S)	変更なし
機密性への影響(C)	なし
完全性への影響(I)	なし
可用性への影響(A)	高

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:openssl:openssl::::::::		3.0.0	3.0.7

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/openssl/openssl/commit/7725e7bfe6f2ce8146b6552b44e0d226be7638e7		Patch Third Party Advisory
2	https://github.com/openssl/openssl/commit/7725e7bfe6f2ce8146b6552b44e0d226be7638e7		Patch Third Party Advisory
3	https://security.netapp.com/advisory/ntap-20230203-0003/
4	https://www.openssl.org/news/secadv/20221213.txt		Vendor Advisory
5	https://www.openssl.org/news/secadv/20221213.txt		Vendor Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-667	不適切なロック	https://cwe.mitre.org/data/definitions/667.html

JVN脆弱性情報

OpenSSL の X.509 ポリシー制限における二重ロックの問題

タイトル	OpenSSL の X.509 ポリシー制限における二重ロックの問題
概要	OpenSSL Project より、<a href="https://www.openssl.org/news/secadv/20221213.txt"target="blank">OpenSSL Security Advisory [13 December 2022]</a> が公開されました。 OpenSSL には、次の脆弱性が存在します。深刻度 - 低（Severity: Low） X.509 証明書に不正なポリシー制限が含まれていて、ポリシー処理が有効な場合、書き込みロックが二重に行われる問題があります。ポリシー処理を有効にするためには、コマンドラインユーティリティに「-policy」引数を渡すか、「X509_VERIFY_PARAM_add0_policy()」または「X509_VERIFY_PARAM_set1_policies()」関数を呼び出すことにより有効になります。なお、OpenSSL Project は公開サーバでポリシー処理を有効にすることは一般的な設定ではないとしています。
想定される影響	一部のオペレーティングシステム (最も一般的なのは Windows) では、影響を受けるプロセスがハングし、サービス運用妨害（DoS）状態となる可能性があります。
対策	[ワークアラウンドを実施する] 開発者によると、本脆弱性の深刻度が低であるため、2022 年 12月 14 日現在、修正は提供されておらず、「commit 7725e7bfe」にて回避策を提示しているとのことです。また、OpenSSL 3.0 系のユーザは、OpenSSL 3.0.8 リリース後にアップデートが必要とのことです。
公表日	2022年12月14日0:00
登録日	2022年12月16日10:00
最終更新日	2022年12月16日10:00

影響を受けるシステム

OpenSSL Project

OpenSSL 3.0.0 から 3.0.7

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2022-3996	https://www.cve.org/CVERecord?id=CVE-2022-3996
National Vulnerability Database (NVD)
2	CVE-2022-3996	https://nvd.nist.gov/vuln/detail/CVE-2022-3996

ベンダー情報

No	名前	URL
GitHub
1	x509 fix double locking problem ・ openssl_openssl@7725e7b	https://github.com/openssl/openssl/commit/7725e7bfe6f2ce8146b6552b44e0d226be7638e7
OpenSSL
2	Vulnerabilities	https://www.openssl.org/news/vulnerabilities.html
OpenSSL Security Advisory
3	OpenSSL Security Advisory [13 December 2022]	https://www.openssl.org/news/secadv/20221213.txt

その他

No	名前	URL
JVN
1	JVNVU#96155097	http://jvn.jp/vu/JVNVU96155097/index.html

変更履歴

No	変更内容	変更日
1	[2022年12月15日] 掲載	2022年12月15日16:07