JVNDB-2024-010757
|
OpenSSL における境界外書き込みの脆弱性 (OpenSSL Security Advisory [16th October 2024])
|
|
OpenSSL Projectより、OpenSSL Security Advisory [16th October 2024] ("Low-level invalid GF(2^m) parameters lead to OOB memory access (CVE-2024-9143)") が公開されました。
深刻度 - 低 (Severity:Low)
OpenSSL において、信頼できない値を用いて低レベルの GF(2^m) 楕円曲線 API を使用すると、メモリの境界外読み取りまたは書き込みが発生する問題 (CWE-787、CVE-2024-9143) が報告されています。
ただし、楕円曲線暗号を使用するプロトコルでは、いわゆる「名前付きの曲線」のみがサポートされるか、もしくは曲線パラメータを指定できる場合においても、本脆弱性を悪用できるような問題のある入力値を表現できないバイナリ曲線のエンコーディングが指定されています。そのため、本脆弱性が悪用可能となるようなアプリケーションが稼働している可能性は低いと指摘されていることに留意してください。
|
|
|
|
|
OpenSSL Project
- OpenSSL 3.3.3 より前の 3.3.0 系バージョン
- OpenSSL 3.2.4 より前の 3.2.0 系バージョン
- OpenSSL 3.1.8 より前の 3.1.0 系バージョン
- OpenSSL 3.0.16 より前の 3.0.0 系バージョン
- OpenSSL 1.1.1zb より前の 1.1.1 系バージョン
- OpenSSL 1.0.2zl より前の 1.0.2 系バージョン
|
OpenSSL 3.3、3.2、3.1、3.0 向けの FIPS モジュールは本脆弱性の影響を受けません。
|
|
アプリケーションのクラッシュあるいはリモートコード実行が行われる可能性があります。
|
|
[アップデートする]
開発者による本脆弱性公開時点では、深刻度が低であるため、OpenSSL gitリポジトリにてcommitのみを提供していましたが、現地時間2025年2月11日に本脆弱性を修正した以下のバージョンがリリースされました。
- OpenSSL 3.3.3(3.3系ユーザ向け)
- OpenSSL 3.2.4(3.2系ユーザ向け)
- OpenSSL 3.1.8(3.1系ユーザ向け)
- OpenSSL 3.0.16(3.0系ユーザ向け)
プレミアムサポートカスタマ向けには以下のバージョンで修正が提供されるとのことです。
- OpenSSL 1.1.1zb (1.1.1プレミアムサポートカスタマ向け)
- OpenSSL 1.0.2zl (1.0.2プレミアムサポートカスタマ向け)
|
|
OpenSSL Project
日立
|
|
- 境界外書き込み(CWE-787) [その他]
|
|
- CVE-2024-9143
|
|
- JVN : JVNVU#90424473
- JVN : JVNVU#95962757
- JVN : JVNVU#90506697
- ICS-CERT ADVISORY : ICSA-25-044-09
- ICS-CERT ADVISORY : ICSA-25-100-02
|
|
- [2024年10月21日]
掲載
- [2025年02月19日]
参考情報:JVN (JVNVU#95962757) を追加
参考情報:ICS-CERT ADVISORY (ICSA-25-044-09) を追加
- [2025年04月14日]
参考情報:JVN (JVNVU#90506697) を追加
参考情報:ICS-CERT ADVISORY (ICSA-25-100-02) を追加
- [2025年10月01日]
ベンダ情報:日立 (hitachi-sec-2025-126) を追加
- [2026年04月13日]
対策:内容を更新
ベンダ情報:内容を更新
|
