独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は1月16日、OpenSSLにおける不正なRSA公開鍵のチェックに時間を要する問題について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
OpenSSL 3.0.0 から 3.0.12
OpenSSL 3.1.0 から 3.1.4
OpenSSL 3.2.0
※OpenSSL 1.1.1および1.0.2には本脆弱性の影響はない
OpenSSL には、RSAのmodulusであるnが大きすぎる素数の積で構成された、RSA公開鍵をEVP_PKEY_public_check()関数でチェックする際に、時間を要する問題があり、EVP_PKEY_public_check()関数を呼び出し信頼できないソースから取得したRSA キーをチェックするアプリケーションは、サービス運用妨害(DoS)状態となる可能性がある。EVP_PKEY_public_check()関数は、OpenSSL pkeyコマンドラインアプリケーションからのみ呼び出され、信頼できないデータに対して、「-pubin」および「-check」オプションを使用するアプリケーションも影響を受ける。
OpenSSL Project では1月16日現在、本脆弱性の修正を目的としたバージョンを提供しておらず、OpenSSL gitリポジトリにて、下記の修正commitが行われている。なお、OpenSSL Projectでは、これらを次回のリリースで反映予定。
commit 0b0f7abf(3.2系)
commit a830f551(3.1系)
commit 18c02492(3.0系)
OpenSSL 3.0.0 から 3.0.12
OpenSSL 3.1.0 から 3.1.4
OpenSSL 3.2.0
※OpenSSL 1.1.1および1.0.2には本脆弱性の影響はない
OpenSSL には、RSAのmodulusであるnが大きすぎる素数の積で構成された、RSA公開鍵をEVP_PKEY_public_check()関数でチェックする際に、時間を要する問題があり、EVP_PKEY_public_check()関数を呼び出し信頼できないソースから取得したRSA キーをチェックするアプリケーションは、サービス運用妨害(DoS)状態となる可能性がある。EVP_PKEY_public_check()関数は、OpenSSL pkeyコマンドラインアプリケーションからのみ呼び出され、信頼できないデータに対して、「-pubin」および「-check」オプションを使用するアプリケーションも影響を受ける。
OpenSSL Project では1月16日現在、本脆弱性の修正を目的としたバージョンを提供しておらず、OpenSSL gitリポジトリにて、下記の修正commitが行われている。なお、OpenSSL Projectでは、これらを次回のリリースで反映予定。
commit 0b0f7abf(3.2系)
commit a830f551(3.1系)
commit 18c02492(3.0系)
編集部おすすめ
![[USBで録画や再生可能]Tinguポータブルテレビ テレビ小型 14.1インチ 高齢者向け 病院使用可能 大画面 大音量 簡単操作 車中泊 車載用バッグ付き 良い画質 HDMI端子搭載 録画機能 YouTube視聴可能 モバイルバッテリーに対応 AC電源・車載電源に対応 スタンド/吊り下げ/車載の3種類設置 リモコン付き 遠距離操作可能 タイムシフト機能付き 底部ボタン 軽量 (14.1インチ)](https://m.media-amazon.com/images/I/51-Yonm5vZL._SL500_.jpg)