【活用ガイド】

JVNDB-2023-001326

OpenSSL の X.509 ポリシー制限の検証における過剰なリソース消費の問題

概要

OpenSSL Project より、Excessive Resource Usage Verifying X.509 Policy Constraints (CVE-2023-0464) が公開されました。
OpenSSL には、次の脆弱性が存在します。

深刻度 - 低(Severity: Low)
OpenSSL のポリシー制限が含まれている X.509 証明書チェーンの検証においてリソースが過剰に消費される問題があります。
ポリシー処理はデフォルトで無効になっており、コマンドラインユーティリティに「-policy」引数を渡すか、「X509_VERIFY_PARAM_set1_policies()」関数を呼び出すことにより有効にできます。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 7.5 (重要) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): なし
  • 完全性への影響(I): なし
  • 可用性への影響(A): 高
影響を受けるシステム


OpenSSL Project
  • OpenSSL 3.1
  • OpenSSL 3.0
  • OpenSSL 1.1.1
  • OpenSSL 1.0.2

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。
想定される影響

攻撃者によって細工された計算リソースを過剰に消費する証明書チェーンを処理させられることで、サービス運用妨害(DoS)攻撃を受ける可能性があります。
対策

[修正を適用する]
開発者によると、本脆弱性の深刻度が低であるため、2023 年 3 月 23 日現在、正式リリースは提供されておらず、以下のコミットで修正されているとのことです。

 * commit 2017771e(3.1 ユーザ向け)
 * commit 959c59c7(3.0 ユーザ向け)
 * commit 879f7080(1.1.1 ユーザ向け)
 * commit 2dcd4f1e(1.0.2 プレミアムサポートカスタマ向け)
 
なお、以下のリリース提供後のアップグレードが必要とのことです。

 * OpenSSL 3.1.1(3.1 ユーザ向け)
 * OpenSSL 3.0.9(3.0 ユーザ向け)
 * OpenSSL 1.1.1u(1.1.1 ユーザ向け)
 * OpenSSL 1.0.2zh(1.0.2 プレミアムサポートカスタマ向け)

また、OpenSSL 1.1.1 は 2023 年 9 月 11 日にサポートが終了し、以降のセキュリティ修正は、プレミアムサポートカスタマのみに提供されるとのことです。
ベンダ情報

OpenSSL Project 日立
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 不正な証明書検証(CWE-295) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2023-0464
参考情報

  1. JVN : JVNVU#94632906
  2. JVN : JVNVU#99464755
  3. JVN : JVNVU#98271228
  4. JVN : JVNVU#99836374
  5. JVN : JVNVU#93250330
  6. JVN : JVNVU#95962757
  7. National Vulnerability Database (NVD) : CVE-2023-0464
  8. ICS-CERT ADVISORY : ICSA-23-166-11
  9. ICS-CERT ADVISORY : ICSA-23-348-10
  10. ICS-CERT ADVISORY : ICSA-23-348-16
  11. ICS-CERT ADVISORY : ICSA-24-102-08
  12. ICS-CERT ADVISORY : ICSA-24-165-04
  13. ICS-CERT ADVISORY : ICSA-24-165-06
  14. ICS-CERT ADVISORY : ICSA-24-165-10
  15. ICS-CERT ADVISORY : ICSA-24-165-11
  16. ICS-CERT ADVISORY : ICSA-25-044-09
更新履歴

  • [2023年03月24日]
      掲載
  • [2023年06月16日]
      参考情報:JVN (JVNVU#99464755) を追加
      参考情報:ICS-CERT ADVISORY (ICSA-23-166-11) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2023-0464) を追加
  • [2023年12月13日]
      ベンダ情報:日立 (hitachi-sec-2023-217) を追加
  • [2023年12月21日]
      参考情報:JVN (JVNVU#98271228) を追加
      参考情報:ICS-CERT ADVISORY (ICSA-23-348-10) を追加
      参考情報:ICS-CERT ADVISORY (ICSA-23-348-16) を追加
  • [2024年04月15日]
      参考情報:JVN (JVNVU#99836374) を追加
      参考情報:ICS-CERT ADVISORY (ICSA-24-102-08) を追加
  • [2024年06月05日]
      CVSS による深刻度:内容を更新
      CWE による脆弱性タイプ一覧:内容を更新
  • [2024年06月17日]
      参考情報:JVN (JVNVU#93250330) を追加
      参考情報:ICS-CERT ADVISORY (ICSA-24-165-04) を追加
      参考情報:ICS-CERT ADVISORY (ICSA-24-165-06) を追加
      参考情報:ICS-CERT ADVISORY (ICSA-24-165-10) を追加
      参考情報:ICS-CERT ADVISORY (ICSA-24-165-11) を追加
  • [2024年09月17日]
      ベンダ情報:日立 (hitachi-sec-2024-145) を追加
  • [2025年02月18日]
      参考情報:JVN (JVNVU#95962757) を追加
      参考情報:ICS-CERT ADVISORY (ICSA-25-044-09) を追加