OpenSSL開発チームは11月1日(UTC)、「OpenSSL 3.0.7」をリリースしました(公式ブログ)。
OpenSSL 3.0.7は以前から予告されていた通り、重大なセキュリティ問題「CVE-2022-3786(X.509 Emailアドレス可変長バッファオーバーフロー)」と「CVE-2022-3602(X.509 Emailアドレス4バイトバッファオーバーフロー)」への対処が行われています。
脆弱性の深刻度はどちらも「HIGH」で、後者の「CVE-2022-360」の深刻度は当初は「CRITICAL」でしたが、複数の組織がテストし、分析した結果、悪用が比較的困難だという理由で「HIGH」に引き下げられたとのことです。
脆弱性は、OpenSSL 3.x(3.0.0〜3.0.6)に影響し、該当する環境は3.0.7にできるだけ早期にアップグレードすることが推奨されています。
またこの脆弱性の影響は受けないものの、OpenSSL 1.1.1系の最新版、1.1.1sも公開されています。
