JVNDB-2024-007376
|
OpenSSL におけるサービス運用妨害 (DoS) の脆弱性 (Security Advisory [3rd September 2024])
|
|
OpenSSL Project より、OpenSSL Security Advisory [3rd September 2024] ("Possible denial of service in X.509 name checks (CVE-2024-6119)")が公開されました。
深刻度−中 (Severity:Moderate)
OpenSSL を用いるアプリケーションにおいて X.509 サーバ証明書の検証を行う際、Subject Alternative Name フィールド内の otherName の検証時に誤ったメモリアドレスを参照してアクセスエラーが生じる問題 (CWE-843、CVE-2024-6119) が報告されています。
なお本脆弱性は、証明書チェーンの検証には影響を与えません。一般的に TLS サーバがクライアント証明書を要求することは少なく、要求する場合においても識別子に対する名前のチェックは行われないため、影響は限定的となります。
|
|
|
|
|
OpenSSL Project
- OpenSSL 3.3
- OpenSSL 3.2
- OpenSSL 3.1
- OpenSSL 3.0
|
開発者によると、上記バージョン向けの FIPS モジュールと、OpenSSL 1.1.1 および 1.0.2 は本脆弱性の影響を受けないとのことです。
|
|
アプリケーションプログラムが予期せず終了し、サービス運用妨害 (DoS) 状態となる可能性があります。
|
|
[アップデートする]
開発者は本脆弱性を修正した以下バージョンをリリースしました。
* OpenSSL 3.3.2 (3.3系ユーザ向け)
* OpenSSL 3.2.3 (3.2系ユーザ向け)
* OpenSSL 3.1.7 (3.1系ユーザ向け)
* OpenSSL 3.0.15 (3.0系ユーザ向け)
|
|
OpenSSL Project
|
|
- 型の取り違え(CWE-843) [その他]
|
|
- CVE-2024-6119
|
|
- JVN : JVNVU#91755094
|
|
|
