公開日:2024/05/30 最終更新日:2024/06/05

JVNVU#96872634
OpenSSLにおける解放済みメモリ使用(use-after-free)の脆弱性(Security Advisory [28th May 2024])

概要

OpenSSL Projectより、OpenSSL Security Advisory [28th May 2024]("Use After Free with SSL_free_buffers (CVE-2024-4741)")が公開されました。

影響を受けるシステム

  • OpenSSL 3.3
  • OpenSSL 3.2
  • OpenSSL 3.1
  • OpenSSL 3.0
  • OpenSSL 1.1.1
開発者によると、上記バージョン向けのFIPSモジュールおよびOpenSSL 1.0.2は本脆弱性の影響を受けない、とのことです。

詳細情報

深刻度-低(Severity:Low)
OpenSSLのSSL_free_buffers関数には、解放済みメモリ使用(use-after-free)の脆弱性(CWE-416CVE-2024-4741)が存在します。

なお、本脆弱性の影響を受けるのは​SSL_free_buffers関数を直接呼び出した場合のみであり、当該関数を直接呼び出すことのないアプリケーションは本脆弱性の影響を受けません。

想定される影響

メモリ上のデータを破壊されたり、アプリケーションがクラッシュしたり、任意のコードを実行されたりする可能性があります。

なお、開発者は、本脆弱性を悪用された事例については把握していないとのことです。

対策方法

アップデートする

開発者による本脆弱性公開時点では、深刻度が低であるため、OpenSSL gitリポジトリにて、commitのみを提供していましたが、現地時間2024年6月4日に本脆弱性を修正した以下のバージョンがリリースされました。
  • OpenSSL 3.3.1(3.3系ユーザ向け)
  • OpenSSL 3.2.2(3.2系ユーザ向け)
  • OpenSSL 3.1.6(3.1系ユーザ向け)
  • OpenSSL 3.0.14(3.0系ユーザ向け)
プレミアムサポートカスタマ向けには以下のバージョンで修正が提供されるとのことです。
  • OpenSSL 1.1.1y(1.1.1プレミアムサポートカスタマ向け)

ベンダ情報

ベンダ リンク
OpenSSL Project OpenSSL Security Advisory [28th May 2024]
OpenSSL 3.3 Series Release Notes
OpenSSL 3.2 Series Release Notes
OpenSSL 3.1 Series Release Notes
OpenSSL 3.0 Series Release Notes

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2024/06/05
[タイトル]、[対策方法]、[ベンダ情報]を更新しました