JVNDB-2023-001326
|
OpenSSL の X.509 ポリシー制限の検証における過剰なリソース消費の問題
|
|
OpenSSL Project より、Excessive Resource Usage Verifying X.509 Policy Constraints (CVE-2023-0464) が公開されました。
OpenSSL には、次の脆弱性が存在します。
深刻度 - 低(Severity: Low)
OpenSSL のポリシー制限が含まれている X.509 証明書チェーンの検証においてリソースが過剰に消費される問題があります。
ポリシー処理はデフォルトで無効になっており、コマンドラインユーティリティに「-policy」引数を渡すか、「X509_VERIFY_PARAM_set1_policies()」関数を呼び出すことにより有効にできます。
|
|
|
|
|
OpenSSL Project
- OpenSSL 3.1
- OpenSSL 3.0
- OpenSSL 1.1.1
- OpenSSL 1.0.2
|
本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。
|
|
攻撃者によって細工された計算リソースを過剰に消費する証明書チェーンを処理させられることで、サービス運用妨害(DoS)攻撃を受ける可能性があります。
|
|
[修正を適用する]
開発者によると、本脆弱性の深刻度が低であるため、2023 年 3 月 23 日現在、正式リリースは提供されておらず、以下のコミットで修正されているとのことです。
* commit 2017771e(3.1 ユーザ向け)
* commit 959c59c7(3.0 ユーザ向け)
* commit 879f7080(1.1.1 ユーザ向け)
* commit 2dcd4f1e(1.0.2 プレミアムサポートカスタマ向け)
なお、以下のリリース提供後のアップグレードが必要とのことです。
* OpenSSL 3.1.1(3.1 ユーザ向け)
* OpenSSL 3.0.9(3.0 ユーザ向け)
* OpenSSL 1.1.1u(1.1.1 ユーザ向け)
* OpenSSL 1.0.2zh(1.0.2 プレミアムサポートカスタマ向け)
また、OpenSSL 1.1.1 は 2023 年 9 月 11 日にサポートが終了し、以降のセキュリティ修正は、プレミアムサポートカスタマのみに提供されるとのことです。
|
|
OpenSSL Project
日立
|
|
|
|
- CVE-2023-0464
|
|
- JVN : JVNVU#94632906
- JVN : JVNVU#99464755
- JVN : JVNVU#98271228
- National Vulnerability Database (NVD) : CVE-2023-0464
- ICS-CERT ADVISORY : ICSA-23-166-11
- ICS-CERT ADVISORY : ICSA-23-348-10
- ICS-CERT ADVISORY : ICSA-23-348-16
|
|
- [2023年03月24日]
掲載
- [2023年06月16日]
参考情報:JVN (JVNVU#99464755) を追加
参考情報:ICS-CERT ADVISORY (ICSA-23-166-11) を追加
参考情報:National Vulnerability Database (NVD) (CVE-2023-0464) を追加
- [2023年12月13日]
ベンダ情報:日立 (hitachi-sec-2023-217) を追加
- [2023年12月21日]
参考情報:JVN (JVNVU#98271228) を追加
参考情報:ICS-CERT ADVISORY (ICSA-23-348-10) を追加
参考情報:ICS-CERT ADVISORY (ICSA-23-348-16) を追加
|
