公開日:2024/09/05 最終更新日:2024/09/05

JVNVU#91755094
OpenSSLにおけるサービス運用妨害(DoS)の脆弱性(Security Advisory [3rd September 2024])

概要

OpenSSL Projectより、OpenSSL Security Advisory [3rd September 2024]("Possible denial of service in X.509 name checks (CVE-2024-6119)")が公開されました。

影響を受けるシステム

  • OpenSSL 3.3
  • OpenSSL 3.2
  • OpenSSL 3.1
  • OpenSSL 3.0
開発者によると、上記バージョン向けのFIPSモジュールと、OpenSSL 1.1.1および1.0.2は本脆弱性の影響を受けないとのことです。

詳細情報

深刻度-中(Severity:Moderate)
OpenSSLを用いるアプリケーションにおいてX.509サーバ証明書の検証を行う際、Subject Alternative Nameフィールド内の otherName の検証時に誤ったメモリアドレスを参照してアクセスエラーが生じる問題(CWE-843CVE-2024-6119)が報告されています。

なお本脆弱性は、証明書チェーンの検証には影響を与えません。一般的にTLSサーバがクライアント証明書を要求することは少なく、要求する場合においても識別子に対する名前のチェックは行われないため、影響は限定的となります。

想定される影響

アプリケーションプログラムが予期せず終了し、サービス運用妨害(DoS)状態となる可能性があります。

対策方法

アップデートする
開発者は本脆弱性を修正した以下バージョンをリリースしました。

  • OpenSSL 3.3.2(3.3系ユーザ向け)
  • OpenSSL 3.2.3(3.2系ユーザ向け)
  • OpenSSL 3.1.7(3.1系ユーザ向け)
  • OpenSSL 3.0.15(3.0系ユーザ向け)

ベンダ情報

ベンダ リンク
OpenSSL Project OpenSSL Security Advisory [3rd September 2024]
OpenSSL 3.3 Series Release Notes
OpenSSL 3.2 Series Release Notes
OpenSSL 3.1 Series Release Notes
OpenSSL 3.0 Series Release Notes

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia