JVNDB-2023-002000
|
OpenSSL の ASN.1 オブジェクト識別子変換における処理時間遅延の問題(Security Advisory [30th May 2023])
|
OpenSSL Project より、OpenSSL Security Advisory [30th May 2023](Possible DoS translating ASN.1 object identifiers (CVE-2023-2650))が公開されました。
深刻度 - 中(Severity: Moderate)
OpenSSL の OBJ_obj2txt() は、ASN.1 OBJECT IDENTIFIER を数値テキスト形式に変換します。この OBJECT IDENTIFIER は一連の番号(サブ識別子)で構成されサイズ制限がないため、サブ識別子の一つが非常に大きい場合、数値テキストへの変換に非常に長い時間を要する問題があります。
OpenSSL 3.0 では数値テキスト形式の OBJECT IDENTIFIER を使用して暗号化アルゴリズムを指定するサポートが導入されています。そのため、ASN.1 構造の AlgorithmIdentifier を通して OBJECT IDENTIFIER を受信し、受信データの署名や検証、暗号化や復号化、ハッシュ化に使用する暗号アルゴリズムを指定するために複数のプロトコルで一般的に使用します。
|
CVSS v3 による深刻度 基本値: 6.5 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): なし
- 完全性への影響(I): なし
- 可用性への影響(A): 高
|
|
OpenSSL Project
- OpenSSL 3.0.9 より前の 3.0 系
- OpenSSL 3.1.1 より前の 3.1 系
- OpenSSL 1.1.1
- OpenSSL 1.0.2
|
なお開発者によると、OpenSSL 1.1.1、 OpenSSL 1.0.2 では、OBJ_obj2txt() を直接呼び出した場合に、この問題の影響を受ける可能性があるとのことです。
|
OBJ_obj2txt() を直接使用するアプリケーションや、メッセージサイズの制限がない OpenSSL のサブシステム(OCSP、PKCS7/SMIME、CMS、CMP/CRMF、TS)を使用するアプリケーションの場合、メッセージ処理時に遅延が発生し、サービス運用妨害(DoS)攻撃を受ける可能性があります。
|
[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性への対策版として次のバージョンをリリースしています。
* OpenSSL 3.0.9(3.0 系ユーザ向け)
* OpenSSL 3.1.1(3.1 系ユーザ向け)
* OpenSSL 1.1.1u(1.1.1 ユーザ向け)
* OpenSSL 1.0.2zh(1.0.2 プレミアムサポートカスタマ向け)
|
OpenSSL Project
三菱電機
日立
|
- 制限またはスロットリング無しのリソースの割り当て(CWE-770) [NVD評価]
|
- CVE-2023-2650
|
- JVN : JVNVU#94584169
- JVN : JVNVU#92598492
- JVN : JVNVU#98271228
- JVN : JVNVU#91198149
- JVN : JVNVU#98894016
- National Vulnerability Database (NVD) : CVE-2023-2650
- ICS-CERT ADVISORY : ICSA-23-320-08
- ICS-CERT ADVISORY : ICSA-23-348-10
- ICS-CERT ADVISORY : ICSA-24-046-15
- ICS-CERT ADVISORY : ICSA-24-184-03
|
- [2023年06月01日]
掲載
- [2023年09月25日]
ベンダ情報:日立 (hitachi-sec-2023-214) を追加
- [2023年09月27日]
ベンダ情報:日立 (hitachi-sec-2023-139) を追加
- [2023年11月21日]
参考情報:JVN (JVNVU#92598492) を追加
参考情報:ICS-CERT ADVISORY (ICSA-23-320-08) を追加
参考情報:National Vulnerability Database (NVD) (CVE-2023-2650) を追加
- [2023年12月21日]
参考情報:JVN (JVNVU#98271228) を追加
参考情報:ICS-CERT ADVISORY (ICSA-23-348-10) を追加
- [2024年02月20日]
参考情報:JVN (JVNVU#91198149) を追加
参考情報:ICS-CERT ADVISORY (ICSA-24-046-15) を追加
- [2024年06月06日]
ベンダ情報:三菱電機 (三菱電機株式会社 の告知ページ) を追加
- [2024年07月03日]
ベンダ情報:三菱電機 (CC-Link IE TSN対応産業用マネージドスイッチ製品におけるOpenSSLに起因するサービス拒否(DoS)の脆弱性) を追加
ベンダ情報:三菱電機 (GENESIS64およびMC Works64における複数の脆弱性) を追加
- [2024年07月05日]
参考情報:JVN (JVNVU#98894016) を追加
参考情報:ICS-CERT ADVISORY (ICSA-24-184-03) を追加
|