公開日:2023/05/31 最終更新日:2023/05/31

JVNVU#94584169
OpenSSLのASN.1 オブジェクト識別子変換における処理時間遅延の問題(Security Advisory [30th May 2023])

概要

OpenSSL Projectより、OpenSSL Security Advisory [30th May 2023](Possible DoS translating ASN.1 object identifiers (CVE-2023-2650))が公開されました。

影響を受けるシステム

  • OpenSSL 3.0.9より前の3.0系
  • OpenSSL 3.1.1より前の3.1系
  • OpenSSL 1.1.1
  • OpenSSL 1.0.2
なお開発者によると、OpenSSL 1.1.1、 OpenSSL 1.0.2では、OBJ_obj2txt()を直接呼び出した場合に、この問題の影響を受ける可能性があるとのことです。

詳細情報

OpenSSL Projectより、OpenSSL Security Advisory [30th May 2023](Possible DoS translating ASN.1 object identifiers (CVE-2023-2650))が公開されました。

深刻度 - 中(Severity: Moderate)
OpenSSLのOBJ_obj2txt()は、ASN.1 OBJECT IDENTIFIERを数値テキスト形式に変換します。このOBJECT IDENTIFIERは一連の番号(サブ識別子)で構成されサイズ制限がないため、サブ識別子の一つが非常に大きい場合、数値テキストへの変換に非常に長い時間を要する問題があります。
OpenSSL 3.0では数値テキスト形式のOBJECT IDENTIFIERを使用して暗号化アルゴリズムを指定するサポートが導入されています。そのため、ASN.1構造のAlgorithmIdentifierを通してOBJECT IDENTIFIERを受信し、受信データの署名や検証、暗号化や復号化、ハッシュ化に使用する暗号アルゴリズムを指定するために複数のプロトコルで一般的に使用します。

想定される影響

OBJ_obj2txt()を直接使用するアプリケーションや、メッセージサイズの制限がないOpenSSLのサブシステム(OCSP、PKCS7/SMIME、CMS、CMP/CRMF、TS)を使用するアプリケーションの場合、メッセージ処理時に遅延が発生し、サービス運用妨害(DoS)攻撃を受ける可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性への対策版として次のバージョンをリリースしています。

  • OpenSSL 3.0.9(3.0系ユーザ向け)
  • OpenSSL 3.1.1(3.1系ユーザ向け)
  • OpenSSL 1.1.1u(1.1.1ユーザ向け)
  • OpenSSL 1.0.2zh(1.0.2プレミアムサポートカスタマ向け)

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia