This service is available only in Japanese-language.

pokyに含まれるOpenSSLの脆弱性(CVE-2022-3602/CVE-3786)に関して


2022年11月1日に公表されたOpenSSLの脆弱性CVE-2022-3602/CVE-3786に関して、YoctoProjectで影響を受けるのはYocto4.0(kirkstone)以降となっています。
Yocto3.4までOpenSSLは、1.X系列を使用しているため、今回公表された脆弱性は含まれておりません。

既にopenembedded-coreのMLには、OpenSSL 3.0.5 から 3.0.7にupdateするパッチも投稿されています。
https://lists.openembedded.org/g/openembedded-core/message/172369

変更点は
・OpenSSL 3.0.5 から OpenSSL 3.0.7 へのアップデート。
・OpenSSL 3.0.6 で解決したCVE-2022-3358へ対応するためのパッチファイルの削除
となっています。

BSPの次期アップデートまで待てない場合は、上記の投稿されたパッチを適用することで脆弱性への対処済のバージョンに更新可能となります。