公開日:2024/01/26 最終更新日:2024/02/02

JVNVU#93108954
OpenSSLにおけるNULLポインタ参照の脆弱性(Security Advisory [25th January 2024])

概要

OpenSSL Projectより、Security Advisory [25th January 2024]("PKCS12 Decoding crashes (CVE-2024-0727)")が公開されました。

影響を受けるシステム

  • OpenSSL 3.2
  • OpenSSL 3.1
  • OpenSSL 3.0
  • OpenSSL 1.1.1
  • OpenSSL 1.0.2

詳細情報

深刻度 - 低(Severity: Low)
OpenSSLには、PKCS#12形式のファイルを処理する際、特定のフィールドがNULLである場合にNULLポインタ参照が発生する脆弱性(CVE-2024-0727)が存在します。
本脆弱性の影響を受けるAPIは、以下の通りです。

  • PKCS12_parse()
  • PKCS12_unpack_p7data()
  • PKCS12_unpack_p7encdata()
  • PKCS12_unpack_authsafes()
  • PKCS12_newpass()

なお、OpenSSL 3.2、3.1および3.0内のFIPSモジュールは本脆弱性の影響を受けません。

想定される影響

NULLポインタ参照が発生することにより、アプリケーションがサービス運用妨害(DoS)状態となる可能性があります。

対策方法

アップデートする
開発者による本脆弱性公開時点では、深刻度が低であるため、修正予定バージョンのみが通知されていましたが、現地時間2024年1月30日に本脆弱性を修正した以下のバージョンがリリースされました。

  • OpenSSL 3.2.1
  • OpenSSL 3.1.5
  • OpenSSL 3.0.13
プレミアムサポートカスタマ向けには以下のバージョンで修正が提供されるとのことです。
  • OpenSSL 1.1.1x(1.1.1プレミアムサポートカスタマ向け)
  • OpenSSL 1.0.2zj(1.0.2プレミアムサポートカスタマ向け)

ベンダ情報

ベンダ リンク
OpenSSL Project OpenSSL Security Advisory [25th January 2024]
OpenSSL 3.2 Series Release Notes
OpenSSL 3.1 Series Release Notes
OpenSSL 3.0 Series Release Notes

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2024/01/31
[詳細情報]の誤字を修正しました
2024/02/02
[対策方法]および[ベンダ情報]を更新しました