JVNDB-2024-001095
|
OpenSSL における NULL ポインタ参照の脆弱性 (Security Advisory [25th January 2024])
|
OpenSSL Project より、Security Advisory [25th January 2024] ("PKCS12 Decoding crashes (CVE-2024-0727)") が公開されました。
深刻度 - 低 (Severity: Low)
OpenSSL には、PKCS#12 形式のファイルを処理する際、特定のフィールドが NULL である場合に NULL ポインタ参照が発生する脆弱性 (CVE-2024-0727) が存在します。
本脆弱性の影響を受ける API は、以下の通りです。
* PKCS12_parse()
* PKCS12_unpack_p7data()
* PKCS12_unpack_p7encdata()
* PKCS12_unpack_authsafes()
* PKCS12_newpass()
なお、OpenSSL 3.2、3.1 および 3.0 内の FIPS モジュールは本脆弱性の影響を受けません。
|
CVSS v3 による深刻度 基本値: 5.5 (警告) [NVD値]
- 攻撃元区分: ローカル
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): なし
- 完全性への影響(I): なし
- 可用性への影響(A): 高
|
|
OpenSSL Project
- OpenSSL 3.2
- OpenSSL 3.1
- OpenSSL 3.0
- OpenSSL 1.1.1
- OpenSSL 1.0.2
|
|
NULL ポインタ参照が発生することにより、アプリケーションがサービス運用妨害 (DoS) 状態となる可能性があります。
|
[アップデートする]
開発者による本脆弱性公開時点では、深刻度が低であるため、修正予定バージョンのみが通知されていましたが、現地時間 2024年1月30日に本脆弱性を修正した以下のバージョンがリリースされました。
* OpenSSL 3.2.1
* OpenSSL 3.1.5
* OpenSSL 3.0.13
プレミアムサポートカスタマ向けには以下のバージョンで修正が提供されるとのことです。
* OpenSSL 1.1.1x(1.1.1 プレミアムサポートカスタマ向け)
* OpenSSL 1.0.2zj(1.0.2 プレミアムサポートカスタマ向け)
|
OpenSSL Project
三菱電機
日立
|
- 情報不足(CWE-noinfo) [NVD評価]
|
- CVE-2024-0727
|
- JVN : JVNVU#93108954
- JVN : JVNVU#99836374
- National Vulnerability Database (NVD) : CVE-2024-0727
- ICS-CERT ADVISORY : ICSA-24-102-01
|
- [2024年01月29日]
掲載
- [2024年02月02日]
対策:内容を更新
ベンダ情報:OpenSSL Project (OpenSSL 3.2 Series Release Notes) を追加
OpenSSL Project (OpenSSL 3.1 Series Release Notes) を追加
OpenSSL Project (OpenSSL 3.0 Series Release Notes) を追加
- [2024年03月06日]
CVSS による深刻度:内容を更新
CWE による脆弱性タイプ一覧:内容を更新
参考情報:National Vulnerability Database (NVD) (CVE-2024-0727) を追加
- [2024年04月15日]
参考情報:JVN (JVNVU#99836374) を追加
参考情報:ICS-CERT ADVISORY (ICSA-24-102-01) を追加
- [2024年08月06日]
ベンダ情報:日立(hitachi-sec-2024-210)を追加
- [2024年09月17日]
ベンダ情報:日立 (hitachi-sec-2024-145) を追加
- [2024年10月02日]
ベンダ情報:三菱電機(三菱電機株式会社 の告知ページ)を追加
三菱電機(MELSEC iQ-F OPC UAユニットにおけるOpenSSLに起因するサービス拒否(DoS)の脆弱性)を追加
|