JVNDB-2024-003083
|
OpenSSL におけるサービス運用妨害 (DoS) の脆弱性 (Security Advisory [8th April 2024])
|
|
深刻度 - 低 (Severity: Low)
OpenSSL において、 TLSv1.3 セッションの処理時にメモリを多量に消費し、サービス運用妨害 (DoS) 状態となる問題 (CVE-2024-2511) が報告されています。本脆弱性は SSL_OP_NO_TICKET オプションが使用されている場合に発生する可能性があり、early_data が設定され、anti-replay 機能が有効になっている場合は発生しません。
また、本脆弱性は TLSv1.3 をサポートする TLS サーバーのみ影響を受け、TLS クライアントは影響を受けず、また OpenSSL の FIPS モジュールも影響を受けません。
|
|
|
|
|
OpenSSL Project
- OpenSSL 3.2
- OpenSSL 3.1
- OpenSSL 3.0
- OpenSSL 1.1.1
|
|
|
大量のメモリを消費させられ、サービス運用妨害 (DoS) 状態となる可能性があります。
|
|
[アップデートする]
開発者による本脆弱性公開時点では、深刻度が低であるため、修正予定バージョンのみが通知されていましたが、現地時間 2024 年 6 月 4 日に本脆弱性を修正した以下のバージョンがリリースされました。
* OpenSSL 3.2.2 (3.2 系ユーザ向け)
* OpenSSL 3.1.6 (3.1 系ユーザ向け)
* OpenSSL 3.0.14 (3.0 系ユーザ向け)
プレミアムサポートカスタマ向けには以下のバージョンで修正が提供されるとのことです。
* OpenSSL 1.1.1y (1.1.1 プレミアムサポートカスタマ向け)
|
|
OpenSSL Project
|
|
|
|
- CVE-2024-2511
|
|
- JVN : JVNVU#96443143
- JVN : JVNVU#96191615
- ICS-CERT ADVISORY : ICSA-24-319-06
- ICS-CERT ADVISORY : ICSA-24-319-08
|
|
- [2024年04月10日]
掲載
- [2024年06月06日]
対策:内容を更新
参考情報:OpenSSL Project (OpenSSL 3.0 Series Release Notes) を追加
参考情報:OpenSSL Project (OpenSSL 3.1 Series Release Notes) を追加
参考情報:OpenSSL Project (OpenSSL 3.2 Series Release Notes) を追加
- [2024年11月19日]
参考情報:JVN (JVNVU#96191615) を追加
参考情報:ICS-CERT ADVISORY (ICSA-24-319-06) を追加
参考情報:ICS-CERT ADVISORY (ICSA-24-319-08) を追加
|
