JVNDB-2024-001006
|
OpenSSL における不正な RSA 公開鍵のチェックに時間を要する問題 (Security Advisory [15th January 2024])
|
|
OpenSSL Project より、Security Advisory [15th January 2024] ("Excessive time spent checking invalid RSA public keys (CVE-2023-6237)") が公開されました。
深刻度 - 低 (Severity: Low)
RSA の modulus である n が大きすぎる素数の積で構成された、RSA 公開鍵を EVP_PKEY_public_check() 関数でチェックする際に、時間を要する問題があります。
なお、OpenSSL 3.0 および 3.1 の FIPS プロバイダーは本脆弱性の影響を受け、OpenSSL SSL/TLS 実装は本脆弱性の影響を受けません。
|
|
|
|
|
OpenSSL Project
- OpenSSL 3.0.0 から 3.0.12
- OpenSSL 3.1.0 から 3.1.4
- OpenSSL 3.2.0
|
OpenSSL 1.1.1 および 1.0.2 は本脆弱性の影響を受けません。
|
|
EVP_PKEY_public_check() 関数を呼び出し、信頼できないソースから取得した RSA キーをチェックするアプリケーションは、サービス運用妨害(DoS)状態となる可能性があります。
EVP_PKEY_public_check() 関数は、OpenSSL pkey コマンドラインアプリケーションからのみ呼び出され、信頼できないデータに対して、「-pubin」および「-check」オプションを使用するアプリケーションも影響を受けます。
|
|
[アップデートする]
開発者による本脆弱性公開時点では、深刻度が低であるため、OpenSSL git リポジトリにて、commit のみを提供していましたが、現地時間 2024 年 1 月 30 日に本脆弱性を修正した以下のバージョンがリリースされました。
* OpenSSL 3.2.1
* OpenSSL 3.1.5
* OpenSSL 3.0.13
|
|
OpenSSL Project
|
|
|
|
- CVE-2023-6237
|
|
- JVN : JVNVU#90782686
|
|
- [2024年01月17日]
掲載
- [2024年02月06日]
ベンダ情報:内容を更新
対策:内容を更新
|
