JVNDB-2024-003083

JVNDB-2024-003083
OpenSSL におけるサービス運用妨害 (DoS) の脆弱性 (Security Advisory [8th April 2024])
概要
深刻度 - 低 (Severity: Low) OpenSSL において、 TLSv1.3 セッションの処理時にメモリを多量に消費し、サービス運用妨害 (DoS) 状態となる問題 (CVE-2024-2511) が報告されています。本脆弱性は SSL_OP_NO_TICKET オプションが使用されている場合に発生する可能性があり、early_data が設定され、anti-replay 機能が有効になっている場合は発生しません。また、本脆弱性は TLSv1.3 をサポートする TLS サーバーのみ影響を受け、TLS クライアントは影響を受けず、また OpenSSL の FIPS モジュールも影響を受けません。
CVSS による深刻度 (CVSS とは?)

影響を受けるシステム

OpenSSL Project OpenSSL 3.2 OpenSSL 3.1 OpenSSL 3.0 OpenSSL 1.1.1

想定される影響
大量のメモリを消費させられ、サービス運用妨害 (DoS) 状態となる可能性があります。
対策
[アップデートする] 2024 年 4 月 9 日現在、修正版は提供されていませんが、本脆弱性は下記バージョンにおいて修正される予定です。　* OpenSSL 3.2.2 (3.2 系ユーザ向け) 　* OpenSSL 3.1.6 (3.1 系ユーザ向け) 　* OpenSSL 3.0.14 (3.0 系ユーザ向け) 　* OpenSSL 1.1.1y (1.1.1 プレミアムサポートカスタマ向け)
ベンダ情報
OpenSSL Project OpenSSL Project : OpenSSL Security Advisory [8th April 2024]
CWEによる脆弱性タイプ一覧 CWEとは?

共通脆弱性識別子(CVE) CVEとは?
CVE-2024-2511
参考情報
JVN : JVNVU#96443143
更新履歴
[2024年04月10日] 掲載


公表日	2024/04/09
登録日	2024/04/10
最終更新日	2024/04/10

OpenSSL におけるサービス運用妨害 (DoS) の脆弱性 (Security Advisory [8th April 2024])