OpenSSLのバージョン3.xから3.0.6（3.0.7より前のバージョン）には、クラッシュや予期しない動作を引き起こす可能性のある、重大度の高いセキュリティ脆弱性が存在することが判明しました。

OpenSSLは、 https://www.openssl.org/news/secadv/20221101.txtに掲載されている勧告を公開しました。

Supermicro ファームウェアおよびソフトウェア製品は、CVE-2022-3786またはCVE-2022-3602の影響を受けないため、 Supermicro 製品はOpenSSLバージョン1.0.x～1.1.1を使用します。

詳細情報：

攻撃者は、スタック上の任意のバイト数の「.」（10進数46）を含むバッファオーバーフローを引き起こす悪意のあるメールアドレスを作成できます。このバッファオーバーフローは、システムクラッシュ（サービス拒否）につながる可能性があります。

X.509証明書の検証、特に名前制約チェックにおいて、バッファオーバーフローが発生する可能性があります。攻撃者は、スタック上の4バイトを攻撃者が制御できるように、悪意のあるメールアドレスを作成することでバッファオーバーフローを引き起こすことができます。このバッファオーバーフローは、システムクラッシュ（サービス拒否攻撃）や、場合によってはリモートコード実行につながる可能性があります。