【活用ガイド】

JVNDB-2019-012631

OpenSSL における整数オーバーフローの脆弱性

概要

OpenSSL には、整数オーバーフローの脆弱性が存在します。

OpenSSL Project より、OpenSSL Security Advisory [6 December 2019] が公開されました。

深刻度 - 低 (Severity: Low)

512 ビット用モジュールのべき乗計算で使用される Montgomery squaring プロシージャにおけるオーバーフローの問題 - CVE-2019-1551
CVSS による深刻度 (CVSS とは?)

影響を受けるシステム


OpenSSL Project
  • OpenSSL 1.1.1
  • OpenSSL 1.0.2

想定される影響

秘密鍵の情報が窃取される可能性があります。
なお、開発者によると楕円曲線暗号アルゴリズムを用いる場合には本脆弱性の影響は受けないとのことです。
対策

[パッチを適用する]
開発者が提供する情報をもとに、パッチを適用してください。詳しくは、開発者が提供する情報を確認してください。

なお、開発者によると、OpenSSL 1.0.2 のサポートは 2019年12月31日で終了し、以降のサポートはプレミアムサポートを契約したユーザにのみ提供されるとのことです。
また OpenSSL 1.1.0 はサポート対象外のため、アップデートを受けることができず、本件への影響も不明とのことです。
そのため開発者は、OpenSSL 1.1.1 へのアップグレードを推奨しています。
ベンダ情報

OpenSSL Project
CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2019-1551
参考情報

  1. JVN : JVNVU#90419651
  2. National Vulnerability Database (NVD) : CVE-2019-1551
更新履歴

  • [2019年12月10日]
      掲載
  • [2019年12月20日]
      タイトル:内容を更新
      概要:内容を更新
  • [2019年12月24日]
      想定される影響:内容を更新