JVNVU#94875946
OpenSSLにおけるサービス運用妨害（DoS）の脆弱性（Security Advisory [16th May 2024]）

OpenSSL Projectより、OpenSSL Security Advisory [16th May 2024]（"Excessive time spent checking DSA keys and parameters (CVE-2024-4603)"）が公開されました。

• OpenSSL 3.3
• OpenSSL 3.2
• OpenSSL 3.1
• OpenSSL 3.0

深刻度－低（Severity：Low）
長すぎるDSA公開キーまたはDSAパラメータをEVP_PKEY_param_check()関数またはEVP_PKEY_public_check()関数でチェックする際に、時間を要する問題があります。

なお、OpenSSL 3.0および3.1のFIPSプロバイダーは本脆弱性の影響を受け、OpenSSL SSL/TLS実装は本脆弱性の影響を受けません。

EVP_PKEY_param_check()関数またはEVP_PKEY_public_check()関数を使用し、信頼できないソースから取得したDSAキーまたはパラメータをチェックするアプリケーションは、サービス運用妨害（DoS）状態となる可能性があります。これらの関数は、OpenSSL自体からは呼び出されないため、これらの関数を直接呼び出すアプリケーションのみが影響を受けます。「-check」オプションを使用する場合、OpenSSL pkeyおよびpkeyparamコマンドラインアプリケーションも影響を受けます。

アップデートする
開発者による本脆弱性公開時点では、深刻度が低であるため、OpenSSL gitリポジトリにて、commitのみを提供していましたが、現地時間2024年6月4日に本脆弱性を修正した以下のバージョンがリリースされました。

• OpenSSL 3.3.1（3.3系ユーザ向け）
• OpenSSL 3.2.2（3.2系ユーザ向け）
• OpenSSL 3.1.6（3.1系ユーザ向け）
• OpenSSL 3.0.14（3.0系ユーザ向け）