JVNVU#90424473
OpenSSLにおける境界外書き込みの脆弱性（OpenSSL Security Advisory [16th October 2024]）

OpenSSL Projectより、OpenSSL Security Advisory [16th October 2024]（"Low-level invalid GF(2^m) parameters lead to OOB memory access (CVE-2024-9143)"）が公開されました。

• OpenSSL 3.3.3 より前の 3.3.0系バージョン
• OpenSSL 3.2.4 より前の 3.2.0系バージョン
• OpenSSL 3.1.8 より前の 3.1.0系バージョン
• OpenSSL 3.0.16 より前の 3.0.0系バージョン
• OpenSSL 1.1.1zb より前の 1.1.1系バージョン
• OpenSSL 1.0.2zl より前の 1.0.2系バージョン

深刻度－低（Severity：Low）
OpenSSLにおいて、信頼できない値を用いて低レベルのGF(2^m)楕円曲線APIを使用すると、メモリの境界外読み取りまたは書き込みが発生する問題（CWE-787、CVE-2024-9143）が報告されています。
ただし、楕円曲線暗号を使用するプロトコルでは、いわゆる「名前付きの曲線」のみがサポートされるか、もしくは曲線パラメータを指定できる場合においても、本脆弱性を悪用できるような問題のある入力値を表現できないバイナリ曲線のエンコーディングが指定されています。そのため、本脆弱性が悪用可能となるようなアプリケーションが稼働している可能性は低いと指摘されていることに留意してください。

アプリケーションのクラッシュあるいはリモートコード実行が行われる可能性があります。

アップデートする
開発者による本脆弱性公開時点では、深刻度が低であるため、OpenSSL gitリポジトリにてcommitのみを提供していましたが、現地時間2025年2月11日に本脆弱性を修正した以下のバージョンがリリースされました。

• OpenSSL 3.3.3（3.3系ユーザ向け）
• OpenSSL 3.2.4（3.2系ユーザ向け）
• OpenSSL 3.1.8（3.1系ユーザ向け）
• OpenSSL 3.0.16（3.0系ユーザ向け）

• OpenSSL 1.1.1zb （1.1.1プレミアムサポートカスタマ向け）
• OpenSSL 1.0.2zl  （1.0.2プレミアムサポートカスタマ向け）