OpenSSLに脆弱性が発覚し、セキュリティー・アドバイザリーが刊行され、予告どおり3.0.5と1.1.1qがリリースされた。

脆弱性は次の2点。
Heap memory corruption with RSA private key operation (CVE-2022-2274)
AES OCB fails to encrypt some bytes (CVE-2022-2097)

Heap memory corruption with RSA private key operation (CVE-2022-2274)
深刻度高
AVX512IFMA命令をサポートするX86_64 CPUで、2048ビットRSA私有鍵を処理するとき、メモリーを破壊してしまうという欠陥が発覚。
最悪、遠隔コード実行が可能になるもよう。
3.0.4版がこの欠陥を内包する。1.1.1系列、1.0.2系列には影響しない。
当該のCPUで3.0.4版の使用者には可及的速やかなアップグレードが推奨されるところだ。

AES OCB fails to encrypt some bytes (CVE-2022-2097)
深刻度中
AES-NIを有効にした32ビットx86プラットホームにおけるOCB (Offset CodeBook) モードのAESで暗号文のうち16バイトが暗号化されない欠陥が発覚。
OCBモードを使った暗号法は、OpenSSLのTLSやDTLSには実装していないため、TLSやDTLSへは影響なし。
3.0系列と1.1.1系列がこの欠陥を内包していた。