【活用ガイド】

JVNDB-2023-002000

OpenSSL の ASN.1 オブジェクト識別子変換における処理時間遅延の問題(Security Advisory [30th May 2023])

概要

OpenSSL Project より、OpenSSL Security Advisory [30th May 2023](Possible DoS translating ASN.1 object identifiers (CVE-2023-2650))が公開されました。

深刻度 - 中(Severity: Moderate)
OpenSSL の OBJ_obj2txt() は、ASN.1 OBJECT IDENTIFIER を数値テキスト形式に変換します。この OBJECT IDENTIFIER は一連の番号(サブ識別子)で構成されサイズ制限がないため、サブ識別子の一つが非常に大きい場合、数値テキストへの変換に非常に長い時間を要する問題があります。
OpenSSL 3.0 では数値テキスト形式の OBJECT IDENTIFIER を使用して暗号化アルゴリズムを指定するサポートが導入されています。そのため、ASN.1 構造の AlgorithmIdentifier を通して OBJECT IDENTIFIER を受信し、受信データの署名や検証、暗号化や復号化、ハッシュ化に使用する暗号アルゴリズムを指定するために複数のプロトコルで一般的に使用します。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 6.5 (警告) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): なし
  • 完全性への影響(I): なし
  • 可用性への影響(A): 高
影響を受けるシステム


OpenSSL Project
  • OpenSSL 3.0.9 より前の 3.0 系
  • OpenSSL 3.1.1 より前の 3.1 系
  • OpenSSL 1.1.1
  • OpenSSL 1.0.2

なお開発者によると、OpenSSL 1.1.1、 OpenSSL 1.0.2 では、OBJ_obj2txt() を直接呼び出した場合に、この問題の影響を受ける可能性があるとのことです。
想定される影響

OBJ_obj2txt() を直接使用するアプリケーションや、メッセージサイズの制限がない OpenSSL のサブシステム(OCSP、PKCS7/SMIME、CMS、CMP/CRMF、TS)を使用するアプリケーションの場合、メッセージ処理時に遅延が発生し、サービス運用妨害(DoS)攻撃を受ける可能性があります。
対策

[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性への対策版として次のバージョンをリリースしています。

 * OpenSSL 3.0.9(3.0 系ユーザ向け)
 * OpenSSL 3.1.1(3.1 系ユーザ向け)
 * OpenSSL 1.1.1u(1.1.1 ユーザ向け)
 * OpenSSL 1.0.2zh(1.0.2 プレミアムサポートカスタマ向け)

ベンダ情報

OpenSSL Project 日立
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 制限またはスロットリング無しのリソースの割り当て(CWE-770) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2023-2650
参考情報

  1. JVN : JVNVU#94584169
  2. JVN : JVNVU#92598492
  3. JVN : JVNVU#98271228
  4. JVN : JVNVU#91198149
  5. National Vulnerability Database (NVD) : CVE-2023-2650
  6. ICS-CERT ADVISORY : ICSA-23-320-08
  7. ICS-CERT ADVISORY : ICSA-23-348-10
  8. ICS-CERT ADVISORY : ICSA-24-046-15
更新履歴

  • [2023年06月01日]
      掲載
  • [2023年09月25日]
      ベンダ情報:日立 (hitachi-sec-2023-214) を追加
  • [2023年09月27日]
      ベンダ情報:日立 (hitachi-sec-2023-139) を追加
  • [2023年11月21日]
      参考情報:JVN (JVNVU#92598492) を追加
      参考情報:ICS-CERT ADVISORY (ICSA-23-320-08) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2023-2650) を追加
  • [2023年12月21日]
      参考情報:JVN (JVNVU#98271228) を追加
      参考情報:ICS-CERT ADVISORY (ICSA-23-348-10) を追加
  • [2024年02月20日]
      参考情報:JVN (JVNVU#91198149) を追加
      参考情報:ICS-CERT ADVISORY (ICSA-24-046-15) を追加

公表日2023/05/31
登録日2023/06/01
最終更新日2024/02/20