公開日:2021/02/17 最終更新日:2021/02/17

JVNVU#94508446
OpenSSL に複数の脆弱性

概要

OpenSSL には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2021-23841、CVE-2021-23840

  • OpenSSL 1.1.1 系
    • OpenSSL 1.1.1 から 1.1.1i までの全てのバージョン
  • OpenSSL 1.0.2 系
    • OpenSSL 1.0.2 から 1.0.2x までの全てのバージョン
CVE-2021-23839
  • OpenSSL 1.0.2 系
    • OpenSSL 1.0.2s から 1.0.2x までの全てのバージョン
なお、OpenSSL 1.1.0 はサポートが終了しているため、本脆弱性の評価を実施していないとのことです。

詳細情報

OpenSSL Project より、OpenSSL Security Advisory [16 February 2021] が公開されました。
OpenSSLには、次の複数の脆弱性が存在します。
深刻度 - 中 (Severity: Moderate)

  • X509_issuer_and_serial_hash 関数の NULL ポインタ参照 (CWE-476) - CVE-2021-23841
深刻度 - 低 (Severity: Low)
  • CipherUpdate での整数オーバーフロー (CWE-190) - CVE-2021-23840
  • 不正な SSLv2 ロールバック保護 - CVE-2021-23839

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 不正なフィールドを持つ X.509 証明書の検証処理を行うことで、サービス運用妨害 (DoS) 状態にされる - CVE-2021-23841
  • EVP_CipherUpdate、EVP_EncryptUpdate、EVP_DecryptUpdate 関数の呼び出し時にプラットフォーム上の整数の最大値に近い値を入力されることで、アプリケーションが不正な動作をしたり、クラッシュさせられたりする - CVE-2021-23840
  • RSA 署名に付与されるパディングの処理に起因するバージョンロールバック攻撃により攻撃者によって SSLv2 接続を強制される - CVE-2021-23839

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性への対策版として次のバージョンをリリースしています。

  • OpenSSL 1.1.1 系
    • OpenSSL 1.1.1j
  • OpenSSL 1.0.2 系 (OpenSSL 1.0.2 プレミアムサポート契約ユーザのみ)
    • OpenSSL 1.0.2y
アップグレードする
OpenSSL 1.1.0 および OpenSSL 1.0.2 はサポートが終了しているため、アップデートは配信されていません。
そのため、開発者は OpenSSL 1.0.2 プレミアムサポート契約ユーザを除き、OpenSSL 1.1.1j へのアップグレードを推奨しています。

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2021-23841
CVE-2021-23840
CVE-2021-23839
JVN iPedia