JVNDB-2024-003083
|
OpenSSL におけるサービス運用妨害 (DoS) の脆弱性 (Security Advisory [8th April 2024])
|
深刻度 - 低 (Severity: Low)
OpenSSL において、 TLSv1.3 セッションの処理時にメモリを多量に消費し、サービス運用妨害 (DoS) 状態となる問題 (CVE-2024-2511) が報告されています。本脆弱性は SSL_OP_NO_TICKET オプションが使用されている場合に発生する可能性があり、early_data が設定され、anti-replay 機能が有効になっている場合は発生しません。
また、本脆弱性は TLSv1.3 をサポートする TLS サーバーのみ影響を受け、TLS クライアントは影響を受けず、また OpenSSL の FIPS モジュールも影響を受けません。
|
|
|
OpenSSL Project
- OpenSSL 3.2
- OpenSSL 3.1
- OpenSSL 3.0
- OpenSSL 1.1.1
|
|
大量のメモリを消費させられ、サービス運用妨害 (DoS) 状態となる可能性があります。
|
[アップデートする]
2024 年 4 月 9 日現在、修正版は提供されていませんが、本脆弱性は下記バージョンにおいて修正される予定です。
* OpenSSL 3.2.2 (3.2 系ユーザ向け)
* OpenSSL 3.1.6 (3.1 系ユーザ向け)
* OpenSSL 3.0.14 (3.0 系ユーザ向け)
* OpenSSL 1.1.1y (1.1.1 プレミアムサポートカスタマ向け)
|
OpenSSL Project
|
|
- CVE-2024-2511
|
- JVN : JVNVU#96443143
|
|