JVNDB-2024-003193
|
OpenSSL におけるサービス運用妨害 (DoS) の脆弱性 (Security Advisory [16th May 2024])
|
|
OpenSSL Project より、OpenSSL Security Advisory [16th May 2024]("Excessive time spent checking DSA keys and parameters (CVE-2024-4603)")が公開されました。
深刻度−低 (Severity: Low)
長すぎる DSA 公開キーまたは DSA パラメータを EVP_PKEY_param_check() 関数または EVP_PKEY_public_check() 関数でチェックする際に、時間を要する問題があります。
なお、OpenSSL 3.0 および 3.1 の FIPS プロバイダーは本脆弱性の影響を受け、OpenSSL SSL/TLS 実装は本脆弱性の影響を受けません。
|
|
|
|
|
OpenSSL Project
- OpenSSL 3.3
- OpenSSL 3.2
- OpenSSL 3.1
- OpenSSL 3.0
|
OpenSSL 1.1.1 および 1.0.2 は本脆弱性の影響を受けません。
|
|
EVP_PKEY_param_check() 関数または EVP_PKEY_public_check() 関数を使用し、信頼できないソースから取得した DSA キーまたはパラメータをチェックするアプリケーションは、サービス運用妨害 (DoS) 状態となる可能性があります。これらの関数は、OpenSSL 自体からは呼び出されないため、これらの関数を直接呼び出すアプリケーションのみが影響を受けます。「 -check 」オプションを使用する場合、 OpenSSL pkey および pkeyparam コマンドラインアプリケーションも影響を受けます。
|
|
[アップデートする]
開発者による本脆弱性公開時点では、深刻度が低であるため、OpenSSL git リポジトリにて、commit のみを提供していましたが、現地時間 2024 年 6 月 4日 に本脆弱性を修正した以下のバージョンがリリースされました。
* OpenSSL 3.3.1 (3.3 系ユーザ向け)
* OpenSSL 3.2.2 (3.2 系ユーザ向け)
* OpenSSL 3.1.6 (3.1 系ユーザ向け)
* OpenSSL 3.0.14 (3.0 系ユーザ向け)
|
|
OpenSSL Project
|
|
|
|
- CVE-2024-4603
|
|
- JVN : JVNVU#94875946
- JVN : JVNVU#96191615
- ICS-CERT ADVISORY : ICSA-24-319-06
|
|
- [2024年05月20日]
掲載
- [2024年06月06日]
対策:内容を更新
参考情報:OpenSSL Project (OpenSSL 3.0 Series Release Notes) を追加
参考情報:OpenSSL Project (OpenSSL 3.1 Series Release Notes) を追加
参考情報:OpenSSL Project (OpenSSL 3.2 Series Release Notes) を追加
参考情報:OpenSSL Project (OpenSSL 3.3 Series Release Notes) を追加
- [2024年11月19日]
参考情報:JVN (JVNVU#96191615) を追加
参考情報:ICS-CERT ADVISORY (ICSA-24-319-06) を追加
|
