【活用ガイド】

JVNDB-2021-005751

OpenSSL の libssl における X509_verify_cert() 内部エラーの不正な処理

概要

OpenSSL の libssl には、内部エラーの発生を示す X509_verify_cert() 関数からの戻り値(負の値)の処理に問題があります。

深刻度 - 中(Severity: Moderate)
OpenSSL の libssl は、クライアント側でサーバ証明書の検証を行う際に、X509_verify_cert() 関数を呼び出しますが、この関数内でメモリ不足が発生した場合などに、内部エラーを示す負の値が戻されます。
OpenSSL では、このような負の戻り値の処理に問題があり、結果として、OpenSSL を利用するアプリケーション側にアプリケーションが予期していない戻り値(SSL_ERROR_WANT_RETRY_VERIFY)を返すことになり、アプリケーションが正常に動作しない可能性があります。(CVE-2021-4044)
CVSS による深刻度 (CVSS とは?)

影響を受けるシステム


OpenSSL Project
  • OpenSSL 3.0.0 SSL/TLS クライアント

OpenSSL 1.1.1 および 1.0.2 は、本脆弱性の影響を受けないとのことです。 なお、OpenSSL 1.1.0 はサポートが終了しているため、本脆弱性の評価を実施していないとのことです。
想定される影響

影響は、アプリケーションによって異なりますが、次のような影響を受ける可能性があります。

 * クラッシュ
 * 無限ループ
 * その他、不正な動作

また、OpenSSL 3.0 の別のバグと組み合わせることで、攻撃者によってアプリケーションが誤った動作をさせられる可能性があります。
対策

[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性への対策版として次のバージョンをリリースしています。

 * OpenSSL 3.0.1

[アップグレードする]
OpenSSL 1.1.0 および OpenSSL 1.0.2 はサポートが終了しているため、アップデートは配信されていません。
そのため、開発者は OpenSSL 1.0.2 プレミアムサポート契約ユーザを除き、OpenSSL 3.0 または 1.1.1 へのアップグレードを推奨しています。
ベンダ情報

OpenSSL Project
CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2021-4044
参考情報

  1. JVN : JVNVU#90127554
  2. National Vulnerability Database (NVD) : CVE-2021-4044
更新履歴

  • [2021年12月17日]
      掲載

公表日2021/12/16
登録日2021/12/17
最終更新日2021/12/17