公開日:2024/04/09 最終更新日:2024/06/05

JVNVU#96443143
OpenSSLにおけるサービス運用妨害(DoS)の脆弱性(Security Advisory [8th April 2024])

概要

OpenSSL Projectより、OpenSSL Security Advisory [8th April 2024]("Unbounded memory growth with session handling in TLSv1.3 (CVE-2024-2511)")が公開されました。

影響を受けるシステム

  • OpenSSL 3.2
  • OpenSSL 3.1
  • OpenSSL 3.0
  • OpenSSL 1.1.1

詳細情報

深刻度-低(Severity: Low)
OpenSSLにおいて、TLSv1.3セッションの処理時にメモリを多量に消費し、サービス運用妨害(DoS)状態となる問題(CVE-2024-2511)が報告されています。本脆弱性はSSL_OP_NO_TICKETオプションが使用されている場合に発生する可能性があり、early_dataが設定され、anti-replay機能が有効になっている場合は発生しません。

また、本脆弱性はTLSv1.3をサポートするTLSサーバーのみ影響を受け、TLSクライアントは影響を受けず、またOpenSSLのFIPSモジュールも影響を受けません。

想定される影響

大量のメモリを消費させられ、サービス運用妨害(DoS)状態となる可能性があります。

対策方法

アップデートする
開発者による本脆弱性公開時点では、深刻度が低であるため、修正予定バージョンのみが通知されていましたが、現地時間2024年6月4日に本脆弱性を修正した以下のバージョンがリリースされました。

  • OpenSSL 3.2.2(3.2系ユーザ向け)
  • OpenSSL 3.1.6(3.1系ユーザ向け)
  • OpenSSL 3.0.14(3.0系ユーザ向け)
プレミアムサポートカスタマ向けには以下のバージョンで修正が提供されるとのことです。
  • OpenSSL 1.1.1y(1.1.1プレミアムサポートカスタマ向け)

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2024/06/05
[対策方法]および[ベンダ情報]を更新しました