【活用ガイド】

JVNDB-2023-002789

OpenSSL の DH_check() 関数における DH キーとパラメータのチェックに過剰な時間がかかる問題 (Security Advisory [31st July 2023])

概要

OpenSSL Project より、OpenSSL Security Advisory [31st July 2023] (Excessive time spent checking DH q parameter value (CVE-2023-3817)) が公開されました。

深刻度 - 低 (Severity: Low)
OpenSSL の DH_check() 関数は、DH パラメータに対してさまざまなチェックを実行します。これらのチェックの一部では、q パラメータの値が大きい場合処理速度が遅くなります。
DH_check() 関数で利用される q パラメータは p パラメータより小さいと定義されているため、q パラメータの値の方が大きい場合には不要な追加チェックが実行されていました。
DH_check() 関数は、DH_check_ex() 関数と EVP_PKEY_param_check() 関数から呼び出されるため、DH_check() 関数だけでなくこれらの関数を呼び出すアプリケーションも影響を受ける可能性があります。また、「-check」オプションを使用する OpenSSL dhparam および pkeyparam コマンドラインアプリケーションも本脆弱性の影響を受けます。

なお、OpenSSL Project は、OpenSSL SSL/TLS 実装および、OpenSSL 3.0 と 3.1 の FIPS プロバイダは本脆弱性の影響を受けないとしています。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 5.3 (警告) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): なし
  • 完全性への影響(I): なし
  • 可用性への影響(A): 低
影響を受けるシステム


OpenSSL Project
  • OpenSSL 3.1
  • OpenSSL 3.0
  • OpenSSL 1.1.1
  • OpenSSL 1.0.2

想定される影響

DH_check()、DH_check_ex()、または EVP_PKEY_param_check() 関数を使用して DH キーまたは DH パラメータをチェックするアプリケーションでは、大きな遅延が発生する可能性があるため、チェックされるキーまたはパラメータが信頼できないソースから取得された場合、サービス運用妨害 (DoS) 状態となる可能性があります。
対策

[アップデートする]
開発者による本脆弱性公開時点では、深刻度が低であるため、OpenSSL git リポジトリにて、commit のみを提供していましたが、現地時間2023年8月1日に本脆弱性を修正した以下のバージョンがリリースされました。
 * OpenSSL 1.1.1v
 * OpenSSL 3.0.10
 * OpenSSL 3.1.2
ベンダ情報

OpenSSL Project 日立
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 過度なイテレーション(CWE-834) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2023-3817
参考情報

  1. JVN : JVNVU#98291788
  2. JVN : JVNVU#92598492
  3. JVN : JVNVU#98271228
  4. JVN : JVNVU#91198149
  5. National Vulnerability Database (NVD) : CVE-2023-3817
  6. ICS-CERT ADVISORY : ICSA-23-320-13
  7. ICS-CERT ADVISORY : ICSA-23-348-10
  8. ICS-CERT ADVISORY : ICSA-24-046-15
更新履歴

  • [2023年08月03日]
      掲載
  • [2023年11月22日]
      参考情報:JVN (JVNVU#92598492) を追加
      参考情報:ICS-CERT ADVISORY (ICSA-23-320-13) を追加
  • [2023年12月21日]
      参考情報:JVN (JVNVU#98271228) を追加
      参考情報:ICS-CERT ADVISORY (ICSA-23-348-10) を追加
  • [2023年12月26日]
      ベンダ情報:日立 (hitachi-sec-2023-218) を追加
  • [2024年02月19日]
      参考情報:JVN (JVNVU#91198149) を追加
      参考情報:ICS-CERT ADVISORY (ICSA-24-046-15) を追加
  • [2024年04月08日]
      CVSS による深刻度:内容を更新
      CWE による脆弱性タイプ一覧:内容を更新

公表日2023/08/02
登録日2023/08/03
最終更新日2024/04/08