JVNVU#96155097
OpenSSLのX.509ポリシー制限における二重ロックの問題

OpenSSLのX.509証明書に不正なポリシー制限が含まれていて、ポリシー処理が有効な場合、書き込みロックが二重に行われる問題があります。

• OpenSSL 3.0.0から3.0.7

OpenSSL Projectより、OpenSSL Security Advisory [13 December 2022]が公開されました。
OpenSSLには、次の脆弱性が存在します。

深刻度 - 低（Severity: Low）
X.509証明書に不正なポリシー制限が含まれていて、ポリシー処理が有効な場合、書き込みロックが二重に行われる問題があります。ポリシー処理を有効にするためには、コマンドラインユーティリティに「-policy」引数を渡すか、「X509_VERIFY_PARAM_add0_policy()」または「X509_VERIFY_PARAM_set1_policies()」関数を呼び出すことにより有効になります。なお、OpenSSL Projectは公開サーバでポリシー処理を有効にすることは一般的な設定ではないとしています。

一部のオペレーティング システム (最も一般的なのは Windows) では、影響を受けるプロセスがハングし、サービス運用妨害（DoS）状態となる可能性があります。

ワークアラウンドを実施する
開発者によると、本脆弱性の深刻度が低であるため、2022年12月14日現在、修正は提供されておらず、「commit 7725e7bfe」にて回避策を提示しているとのことです。また、OpenSSL 3.0系のユーザは、OpenSSL 3.0.8リリース後にアップデートが必要とのことです。