OpenSSLにDoS攻撃につながる脆弱性、修正は次期リリースから
マイナビニュース2024年4月11日(木)7時42分
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は4月9日、「JVNVU#96443143: OpenSSLにおけるサービス運用妨害(DoS)の脆弱性(Security Advisory [8th April 2024])」において、OpenSSLに脆弱性が存在するとして、注意を喚起した。この脆弱性を悪用されると、サービス運用妨害(DoS: Denial of Service)攻撃を実行される可能性がある。
○脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
OpenSSL Security Advisory [8th April 2024]
修正された脆弱性の情報(CVE)は次のとおり。
CVE-2024-2511 - TLS(Transport Layer Security)v1.3のセッション処理に限定されないメモリ増加の脆弱性。攻撃者は特定のサーバ設定を悪用してサービス運用妨害(DoS)につながるメモリ増加を引き起こす可能性がある
○脆弱性の影響を受ける製品
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
OpenSSL バージョン3.2
OpenSSL バージョン3.1
OpenSSL バージョン3.0
OpenSSL バージョン1.1.1
この脆弱性はTLSv1.3をサポートするTLSサーバにのみ影響するため、TLSクライアントには影響しない。また、OpenSSL 3.2、3.1、3.0のFIPSモジュール、OpenSSL バージョン1.0.2にも影響しない。
○脆弱性が修正される予定の製品
この脆弱性は深刻度が低いと評価されているため、修正アップデートは提供されない。次に示す将来のリリースに修正が含まれる予定。
OpenSSL バージョン3.2.2
OpenSSL バージョン3.1.6
OpenSSL バージョン3.0.14
OpenSSL バージョン1.1.1y (プレミアム サポートの顧客のみ)
○回避策
この脆弱性は、次の条件を満たすTLSv1.3を使用するサーバに影響を及ぼす。
デフォルトではないSSL_OP_NO_TICKETオプションを設定している
early_dataサポートとデフォルトのアンチリプレイ保護を使用していない
これら条件を満たし、影響を受けるサーバを運用している場合は、設定を変更することで影響を回避できる可能性がある。また、OpenSSL Gitリポジトリの修正コミット(ソースコード)をビルドし、バイナリーを差し替えることでも影響を回避することができる。修正コミットはe9d7083e(OpenSSL 3.2)、7e4d731b(OpenSSL 3.1)、b52867a9 (OpenSSL 3.0)からダウンロードできる。
○脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
OpenSSL Security Advisory [8th April 2024]
修正された脆弱性の情報(CVE)は次のとおり。
CVE-2024-2511 - TLS(Transport Layer Security)v1.3のセッション処理に限定されないメモリ増加の脆弱性。攻撃者は特定のサーバ設定を悪用してサービス運用妨害(DoS)につながるメモリ増加を引き起こす可能性がある
○脆弱性の影響を受ける製品
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
OpenSSL バージョン3.2
OpenSSL バージョン3.1
OpenSSL バージョン3.0
OpenSSL バージョン1.1.1
この脆弱性はTLSv1.3をサポートするTLSサーバにのみ影響するため、TLSクライアントには影響しない。また、OpenSSL 3.2、3.1、3.0のFIPSモジュール、OpenSSL バージョン1.0.2にも影響しない。
○脆弱性が修正される予定の製品
この脆弱性は深刻度が低いと評価されているため、修正アップデートは提供されない。次に示す将来のリリースに修正が含まれる予定。
OpenSSL バージョン3.2.2
OpenSSL バージョン3.1.6
OpenSSL バージョン3.0.14
OpenSSL バージョン1.1.1y (プレミアム サポートの顧客のみ)
○回避策
この脆弱性は、次の条件を満たすTLSv1.3を使用するサーバに影響を及ぼす。
デフォルトではないSSL_OP_NO_TICKETオプションを設定している
early_dataサポートとデフォルトのアンチリプレイ保護を使用していない
これら条件を満たし、影響を受けるサーバを運用している場合は、設定を変更することで影響を回避できる可能性がある。また、OpenSSL Gitリポジトリの修正コミット(ソースコード)をビルドし、バイナリーを差し替えることでも影響を回避することができる。修正コミットはe9d7083e(OpenSSL 3.2)、7e4d731b(OpenSSL 3.1)、b52867a9 (OpenSSL 3.0)からダウンロードできる。
「SSL」をもっと詳しく
wolfSSL、新製品wolfHSMを発表
OpenSSLにサービス運用妨害(DoS)の脆弱性、手動アップデートが必要
テレビ朝日、『梨泰院クラス』『財閥家の末息子』の韓国大手スタジオSSLと協業協定
「SSL」のニュース
-
Windowsサーバー専門のホスティングサービス「Winserver」が “SSLサーバー証明書1年延長キャンペーン”を2024年5月1日(水)〜年5月31日(金) に実施!4月23日15時0分
-
OpenSSLにDoS攻撃につながる脆弱性、修正は次期リリースから4月11日7時42分
-
仮想環境とパッケージマネージャーを一つにする「Flox」がv1.0に到達3月14日12時58分
-
ネットワーク管理支援のOSS『netbox』と組み合わせてSSL証明書の有効期限を管理『netbox-certchecker』を2024年3月14日より無償公開開始3月14日11時0分
-
TE Connectivity、過酷な環境下で稼働する商用車両やマシンの性能と信頼性の向上に貢献3月13日17時47分
-
大阪・関西万博におけるクウェート国パビリオンのデザインを公開3月5日17時17分
-
SSL-VPNソリューション「NetScaler Gateway」と多要素認証プラットフォーム「PassLogic」の連携が完了2月6日11時0分
-
【Z会の本】Z会PASSLABOによるオンライン模試第2弾実施決定! 参考書YouTubeによる全国共通テスト模試を12月23日(土)実施!12月7日16時46分
-
【大学受験】Z会PASSLABO「全国共通テスト模試」8/268月16日9時15分