JVNDB-2024-003252
|
OpenSSL における解放済みメモリ使用(user-after-free)の脆弱性(Security Advisory [28th May 2024])
|
|
OpenSSL Project より、OpenSSL Security Advisory [28th May 2024] ("Use After Free with SSL_free_buffers (CVE-2024-4741)")が公開されました。
深刻度−低(Severity:Low)
OpenSSL の SSL_free_buffers 関数には、解放済みメモリ使用(use-after-free)の脆弱性(CWE-416、CVE-2024-4741)が存在します。
なお、本脆弱性の影響を受けるのは SSL_free_buffers 関数を直接呼び出した場合のみであり、当該関数を直接呼び出すことのないアプリケーションは本脆弱性の影響を受けません。
|
|
|
|
|
OpenSSL Project
- OpenSSL 3.3
- OpenSSL 3.2
- OpenSSL 3.1
- OpenSSL 3.0
- OpenSSL 1.1.1
|
開発者によると、上記バージョン向けの FIPS モジュールおよび OpenSSL 1.0.2 は本脆弱性の影響を受けない、とのことです。
|
|
メモリ上のデータを破壊されたり、アプリケーションがクラッシュしたり、任意のコードを実行されたりする可能性があります。
なお、開発者は、本脆弱性を悪用された事例については把握していないとのことです。
|
|
[アップデートする]
開発者による本脆弱性公開時点では、深刻度が低であるため、OpenSSL git リポジトリにて、commit のみを提供していましたが、現地時間 2024 年 6 月 4 日に本脆弱性を修正した以下のバージョンがリリースされました。
* OpenSSL 3.3.1 (3.3系ユーザ向け)
* OpenSSL 3.2.2 (3.2系ユーザ向け)
* OpenSSL 3.1.6 (3.1系ユーザ向け)
* OpenSSL 3.0.14 (3.0系ユーザ向け)
プレミアムサポートカスタマ向けには以下のバージョンで修正が提供されるとのことです。
* OpenSSL 1.1.1y (1.1.1 プレミアムサポートカスタマ向け)
|
|
OpenSSL Project
|
|
- 解放済みメモリの使用(CWE-416) [その他]
|
|
- CVE-2024-4741
|
|
- JVN : JVNVU#96872634
|
|
- [2024年05月31日]
掲載
- [2024年06月06日]
タイトル:内容を更新
対策:内容を更新
参考情報:OpenSSL Project (OpenSSL 3.0 Series Release Notes) を追加
参考情報:OpenSSL Project (OpenSSL 3.1 Series Release Notes) を追加
参考情報:OpenSSL Project (OpenSSL 3.2 Series Release Notes) を追加
参考情報:OpenSSL Project (OpenSSL 3.3 Series Release Notes) を追加
|
