OpenSSL の脆弱性に関する影響について
OpenSSL Project から発表されている OpenSSL の脆弱性について Appeon 社より製品に対する影響が公開されました。発表されている脆弱性のうち、CVE-2022-2068 および CVE-2022-2097 が PowerBuilder IDE の SVN 連携機能に影響しています。
Security Bulletin: OpenSSL Vulnerabilities
Appeon 社から公開されている内容を日本語訳し以下にまとめました。正確な内容については上記リンク先の原文をご確認ください。
Security Bulletin : OpenSSL の脆弱性
概要
Appeon 製品のお客さまから、OpenSSL に関連する次のセキュリティ脆弱性についての懸念が寄せられました。
- CVE-2022-3786 および CVE-2022-3602
- CVE-2022-2068 および CVE-2022-2097
これを受け、Appeon は直ちに調査を開始しました。この Security Bulletin は、これまでの調査結果をまとめたものです。
Appeon 製品で使用される OpenSSL バージョン
すべての Appeon 製品において、OpenSSL を含むのは PowerBuilder のみです。OpenSSL が含まれている理由は、PowerBuilder に依存する SVN および Curl ライブラリが含まれているためです。なお、Git ライブラリには OpenSSL への依存関係はありません。
PowerBuilder に含まれる OpenSSL のバージョンは、使用される SVN および Curl ライブラリのバージョンによって決まります。Appeon が OpenSSL バージョンを個別にアップグレードすることはできません。
- PowerBuilder 2022 には、SVN 1.14.1 をサポートする OpenSSL 1.1.1i と、Curl 7.76.1 をサポートする OpenSSL 1.1.1q が含まれています。
- PowerBuilder 2019 R3 ~ 2021 には、古いバージョンの SVN をサポートする OpenSSL 1.0.21 と、古いバージョンの Curl をサポートする OpenSSL 1.1.1g が含まれています。
- PowerBuilder 2017 R3 ~ 2019 R2 には、SVN の古いバージョンをサポートするための OpenSSL 1.0.21 が含まれています。
- PowerBuilder 2017 R2 以前を使用している場合も影響を受ける可能性がありますが、Appeon は EOL バージョンのセキュリティ調査および修正を提供することはありません。
PowerBuilder IDE で次の機能を使用すると、OpenSSL ライブラリが実行されます。
- SVN ライブラリは、SVN の IDE 内でソース管理機能を有効にするために製品に含まれています。IDE 内で他のソース管理機能 (Git など) を使用している場合、またはソース管理をまったく使用していない場合、SVN ライブラリは使用されません。
- 製品には Curl ライブラリが含まれており、PowerClient/PowerServer プロジェクトの統合 FTP デプロイメントオプションを有効にします。外部 FTP クライアントまたはその他の手段を使用してアプリファイルをサーバーに転送する PowerClient/PowerServer プロジェクトをデプロイする場合、Curl ライブラリは使用されません。
CVE の影響を受ける Appeon 製品は?
CVE-2022-3786 および CVE-2022-3602
OpenSSL ブログで説明されているように、これら 2 つの脆弱性 CVE-2022-3786 および CVE-2022-3602 (X.509 メールアドレスバッファーオーバーフロー) は、punycode デコード機能の一部として導入されました (現在、X.509 証明書の電子メールアドレス名の制約を処理するためにのみ使用されています)。このコードは、OpenSSL 3.0.0 で初めて導入されました。OpenSSL 1.0.2、1.1.1、およびその他の以前のバージョンは影響を受けません。
Appeon 製品 (PowerBuilder、PowerServer、InfoMaker など) は OpenSSL 3.0.0 ライブラリを使用していないため、Appeon 製品は影響を受けません。
CVE-2022-2068 および CVE-2022-2097
CVE-2022-2068 (コードレビューにより、c_rehash スクリプトはコマンドインジェクションを防ぐためにシェルのメタ文字を適切にサニタイズしていないことが判明) の修正を含む OpenSSL バージョンには、次のものが含まれます。
- OpenSSL 3.0.4 (3.0.0、3.0.1、3.0.2、3.0.3 は脆弱性を含む)
- OpenSSL 1.1.1p (1.1.1 ~ 1.1.1o は脆弱性を含む)
- OpenSSL 1.0.2zf (1.0.2 ~ 1.0.2ze は脆弱性を含む)
CVE-2022-2097 の修正を含む OpenSSL バージョン (AES-NI アセンブリ最適化実装を使用する 32 ビット x86 プラットフォームの AES OCB モードでは、状況によってはデータ全体が暗号化されない) は次のとおりです。
- OpenSSL 3.0.5 (3.0.0 ~ 3.0.4 は脆弱性を含む)
- OpenSSL 1.1.1q (1.1.1 ~ 1.1.1p は脆弱性を含む)
上記の情報に基づき、Appeon 製品で使用される OpenSSL のバージョンによって下記の状況となります。
- PowerBuilder 2022 の IDE 内の SVN ソース管理機能は、CVE-2022-2068 の影響を受ける可能性があります (Git ソース管理は影響を受けません)。
- PowerBuilder 2017 R3 ~ 2021 の IDE 内の SVN ソース管理機能は、CVE-2022-2068 と CVE-2022-2097 の両方の影響を受ける可能性があります (Git ソース管理は影響を受けません)。
- サポートされている PowerBuilder バージョンで使用される Curl ライブラリは、これらの CVE の影響を受けません。
- サポートされている PowerBuilder バージョンの PowerBuilder ランタイムは、これらの CVE の影響を受けません。
対応方法は?
IDE で SVN ソース管理機能を直接使用することを一時的に控え、代わりに TortoiseSVN クライアントを使用して、IDE の外部で PowerBuilder プロジェクトをバージョン管理してください。
もしくは、VPN を使用して開発者のマシンと SVN サーバー間のネットワーク接続を確立することを検討してください。
次に、貴社のセキュリティポリシーおよびプロセスに従って、システムが危険にさらされていないことを確認してください。
Appeon による対応は?
Appeon は OpenSSL CVE を subversion.apache.org に報告し、製品で使用される OpenSSL バージョンをアップグレードするよう依頼しました。アップデートバージョンが利用可能になり次第、Appeon はアップデートを PowerBuilder に組み込むために尽力します。
ご質問がありますか?
このセキュリティ情報について質問がある場合は、Appeon Web サイトでサポートチケットを開いてください:/standardsupport/newbug
最終更新日: 2022 年 11 月 11 日