公開日:2024/04/09 最終更新日:2024/04/09
JVNVU#96443143
OpenSSLにおけるサービス運用妨害(DoS)の脆弱性(Security Advisory [8th April 2024])
OpenSSL Projectより、OpenSSL Security Advisory [8th April 2024]("Unbounded memory growth with session handling in TLSv1.3 (CVE-2024-2511)")が公開されました。
- OpenSSL 3.2
- OpenSSL 3.1
- OpenSSL 3.0
- OpenSSL 1.1.1
深刻度-低(Severity: Low)
OpenSSLにおいて、TLSv1.3セッションの処理時にメモリを多量に消費し、サービス運用妨害(DoS)状態となる問題(CVE-2024-2511)が報告されています。本脆弱性はSSL_OP_NO_TICKETオプションが使用されている場合に発生する可能性があり、early_dataが設定され、anti-replay機能が有効になっている場合は発生しません。
また、本脆弱性はTLSv1.3をサポートするTLSサーバーのみ影響を受け、TLSクライアントは影響を受けず、またOpenSSLのFIPSモジュールも影響を受けません。
大量のメモリを消費させられ、サービス運用妨害(DoS)状態となる可能性があります。
アップデートする
2024年4月9日現在、修正版は提供されていませんが、本脆弱性は下記バージョンにおいて修正される予定です。
- OpenSSL 3.2.2(3.2系ユーザ向け)
- OpenSSL 3.1.6(3.1系ユーザ向け)
- OpenSSL 3.0.14(3.0系ユーザ向け)
- OpenSSL 1.1.1y(1.1.1プレミアムサポートカスタマ向け)
ベンダ | リンク |
OpenSSL Project | OpenSSL Security Advisory [8th April 2024] |