OpenSSLにサービス運用妨害(DoS)の脆弱性、手動アップデートが必要
2024年5月21日(火)9時40分 マイナビニュース
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)はこのほど、「JVNVU#94875946: OpenSSLにおけるサービス運用妨害(DoS)の脆弱性(Security Advisory [16th May 2024])」において、OpenSSLにサービス運用妨害(DoS: Denial of Service)の脆弱性が存在すると伝えた。
○脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
openssl.org/news/secadv/20240516.txt
脆弱性の情報(CVE)は次のとおり。
CVE-2024-4603 - 長過ぎるDSA鍵またはパラメーターの確認に非常に時間がかかる。その結果、サービス運用妨害につながる可能性がある
○脆弱性が存在する製品
脆弱性が存在する製品およびバージョンは次のとおり。
OpenSSL 3.3
OpenSSL 3.2
OpenSSL 3.1
OpenSSL 3.0
OpenSSL 1.1.1および1.0.2はこの脆弱性の影響を受けない。
○脆弱性が修正された製品
脆弱性が修正された製品およびバージョンは次のとおり。
OpenSSL 3.3 commit 53ea0648
OpenSSL 3.2 commit da343d06
OpenSSL 3.1 commit 9c39b385
OpenSSL 3.0 commit 3559e868
OpenSSLの開発者は脆弱性の深刻度を低いと評価しており、緊急の修正パッチを提供していない。影響を受けるシステムを運用しており速やかに対策したい場合は、GitHubリポジトリから上記の修正版ソースコードを取得し、手動でアップデートする必要がある。
○脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
openssl.org/news/secadv/20240516.txt
脆弱性の情報(CVE)は次のとおり。
CVE-2024-4603 - 長過ぎるDSA鍵またはパラメーターの確認に非常に時間がかかる。その結果、サービス運用妨害につながる可能性がある
○脆弱性が存在する製品
脆弱性が存在する製品およびバージョンは次のとおり。
OpenSSL 3.3
OpenSSL 3.2
OpenSSL 3.1
OpenSSL 3.0
OpenSSL 1.1.1および1.0.2はこの脆弱性の影響を受けない。
○脆弱性が修正された製品
脆弱性が修正された製品およびバージョンは次のとおり。
OpenSSL 3.3 commit 53ea0648
OpenSSL 3.2 commit da343d06
OpenSSL 3.1 commit 9c39b385
OpenSSL 3.0 commit 3559e868
OpenSSLの開発者は脆弱性の深刻度を低いと評価しており、緊急の修正パッチを提供していない。影響を受けるシステムを運用しており速やかに対策したい場合は、GitHubリポジトリから上記の修正版ソースコードを取得し、手動でアップデートする必要がある。
関連記事(外部サイト)
