OpenSSLに複数の脆弱性

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は2月8日、OpenSSLの複数の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。影響を受けるシステムは以下の通り。

・CVE-2023-0286、CVE-2022-4304、CVE-2023-0215
OpenSSL 3.0、1.1.1、1.0.2

・CVE-2022-4203、CVE-2023-0216、CVE-2023-0217、CVE-2023-0401
OpenSSL 3.0.0から3.0.7

・CVE-2022-4450
OpenSSL 3.0、1.1.1

　OpenSSLには、次のような影響を受ける下記の脆弱性が存在する。「CVE-2023-0286」については深刻度が高となっている。

・X.509 GeneralNameにおけるX.400アドレスの型の取り違え（CVE-2023-0286）
→メモリの内容を読み取られたりシステムがサービス運用妨害（DoS）状態にされる

・RSA Decryptionにおけるタイミングオラクル（CVE-2022-4304）
→ユーザがサーバへ送信したアプリケーションのデータを復号される

・X.509 Name Constraintsにおける領域外読み取り（CVE-2022-4203）
→システムがサービス運用妨害（DoS）状態にされる

・BIO_new_NDEF呼出し後の解放済みメモリの使用（CVE-2023-0215）
→システムがサービス運用妨害（DoS）状態にされる

・PEM_read_bio_ex呼出し後の二重解放（CVE-2022-4450）
→システムがサービス運用妨害（DoS）状態にされる

・d2i_PKCS7関数における無効なポインタの参照（CVE-2023-0216）
→システムがサービス運用妨害（DoS）状態にされる

・DSA公開鍵検証時のNULL参照（CVE-2023-0217）
→システムがサービス運用妨害（DoS）状態にされる

・PKCS7データ検証時のNULL参照（CVE-2023-0401）
→システムがサービス運用妨害（DoS）状態にされる

　OpenSSL Projectでは、本脆弱性への対策版として次のバージョンをリリースしている。

OpenSSL 3.0.8
OpenSSL 1.1.1t
OpenSSL 1.0.2zg（プレミアムサポートカスタマのみ）

　JVNでは、開発者が提供する情報をもとに、最新版へアップデートするよう呼びかけている。

元の記事を読む