【活用ガイド】

JVNDB-2024-001095

OpenSSL における NULL ポインタ参照の脆弱性 (Security Advisory [25th January 2024])

概要

OpenSSL Project より、Security Advisory [25th January 2024] ("PKCS12 Decoding crashes (CVE-2024-0727)") が公開されました。

深刻度 - 低 (Severity: Low)
OpenSSL には、PKCS#12 形式のファイルを処理する際、特定のフィールドが NULL である場合に NULL ポインタ参照が発生する脆弱性 (CVE-2024-0727) が存在します。
本脆弱性の影響を受ける API は、以下の通りです。

 * PKCS12_parse()
 * PKCS12_unpack_p7data()
 * PKCS12_unpack_p7encdata()
 * PKCS12_unpack_authsafes()
 * PKCS12_newpass()

なお、OpenSSL 3.2、3.1 および 3.0 内の FIPS モジュールは本脆弱性の影響を受けません。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 5.5 (警告) [NVD値]
  • 攻撃元区分: ローカル
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): なし
  • 完全性への影響(I): なし
  • 可用性への影響(A): 高
影響を受けるシステム


OpenSSL Project
  • OpenSSL 3.2
  • OpenSSL 3.1
  • OpenSSL 3.0
  • OpenSSL 1.1.1
  • OpenSSL 1.0.2

想定される影響

NULL ポインタ参照が発生することにより、アプリケーションがサービス運用妨害 (DoS) 状態となる可能性があります。
対策

[アップデートする]
開発者による本脆弱性公開時点では、深刻度が低であるため、修正予定バージョンのみが通知されていましたが、現地時間 2024年1月30日に本脆弱性を修正した以下のバージョンがリリースされました。

 * OpenSSL 3.2.1
 * OpenSSL 3.1.5
 * OpenSSL 3.0.13
 
プレミアムサポートカスタマ向けには以下のバージョンで修正が提供されるとのことです。
 * OpenSSL 1.1.1x(1.1.1 プレミアムサポートカスタマ向け)
 * OpenSSL 1.0.2zj(1.0.2 プレミアムサポートカスタマ向け)
ベンダ情報

OpenSSL Project 三菱電機 日立
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 情報不足(CWE-noinfo) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2024-0727
参考情報

  1. JVN : JVNVU#93108954
  2. JVN : JVNVU#99836374
  3. National Vulnerability Database (NVD) : CVE-2024-0727
  4. ICS-CERT ADVISORY : ICSA-24-102-01
更新履歴

  • [2024年01月29日]
      掲載
  • [2024年02月02日]
      対策:内容を更新
      ベンダ情報:OpenSSL Project (OpenSSL 3.2 Series Release Notes) を追加
            OpenSSL Project (OpenSSL 3.1 Series Release Notes) を追加
            OpenSSL Project (OpenSSL 3.0 Series Release Notes) を追加
  • [2024年03月06日]
      CVSS による深刻度:内容を更新
      CWE による脆弱性タイプ一覧:内容を更新
      参考情報:National Vulnerability Database (NVD) (CVE-2024-0727) を追加
  • [2024年04月15日]
      参考情報:JVN (JVNVU#99836374) を追加
      参考情報:ICS-CERT ADVISORY (ICSA-24-102-01) を追加
  • [2024年08月06日]
      ベンダ情報:日立(hitachi-sec-2024-210)を追加
  • [2024年09月17日]
      ベンダ情報:日立 (hitachi-sec-2024-145) を追加
  • [2024年10月02日]
      ベンダ情報:三菱電機(三菱電機株式会社 の告知ページ)を追加
            三菱電機(MELSEC iQ-F OPC UAユニットにおけるOpenSSLに起因するサービス拒否(DoS)の脆弱性)を追加