JVNDB-2021-005751
|
OpenSSL の libssl における X509_verify_cert() 内部エラーの不正な処理
|
OpenSSL の libssl には、内部エラーの発生を示す X509_verify_cert() 関数からの戻り値(負の値)の処理に問題があります。
深刻度 - 中(Severity: Moderate)
OpenSSL の libssl は、クライアント側でサーバ証明書の検証を行う際に、X509_verify_cert() 関数を呼び出しますが、この関数内でメモリ不足が発生した場合などに、内部エラーを示す負の値が戻されます。
OpenSSL では、このような負の戻り値の処理に問題があり、結果として、OpenSSL を利用するアプリケーション側にアプリケーションが予期していない戻り値(SSL_ERROR_WANT_RETRY_VERIFY)を返すことになり、アプリケーションが正常に動作しない可能性があります。(CVE-2021-4044)
|
|
|
OpenSSL Project
- OpenSSL 3.0.0 SSL/TLS クライアント
|
OpenSSL 1.1.1 および 1.0.2 は、本脆弱性の影響を受けないとのことです。
なお、OpenSSL 1.1.0 はサポートが終了しているため、本脆弱性の評価を実施していないとのことです。
|
影響は、アプリケーションによって異なりますが、次のような影響を受ける可能性があります。
* クラッシュ
* 無限ループ
* その他、不正な動作
また、OpenSSL 3.0 の別のバグと組み合わせることで、攻撃者によってアプリケーションが誤った動作をさせられる可能性があります。
|
[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性への対策版として次のバージョンをリリースしています。
* OpenSSL 3.0.1
[アップグレードする]
OpenSSL 1.1.0 および OpenSSL 1.0.2 はサポートが終了しているため、アップデートは配信されていません。
そのため、開発者は OpenSSL 1.0.2 プレミアムサポート契約ユーザを除き、OpenSSL 3.0 または 1.1.1 へのアップグレードを推奨しています。
|
OpenSSL Project
|
|
- CVE-2021-4044
|
- JVN : JVNVU#90127554
- National Vulnerability Database (NVD) : CVE-2021-4044
|
|