OpenSSL に複数の脆弱性、アップデートを呼びかけ

独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は2月17日、OpenSSL の複数の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。影響を受けるシステムは以下の通り。

脆弱性と脅威

2021.2.19 Fri 8:05

独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は2月17日、OpenSSL の複数の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。影響を受けるシステムは以下の通り。

・CVE-2021-23841、CVE-2021-23840
OpenSSL 1.1.1 系（OpenSSL 1.1.1 から 1.1.1i までの全てのバージョン）
OpenSSL 1.0.2 系（OpenSSL 1.0.2 から 1.0.2x までの全てのバージョン）

・CVE-2021-23839
OpenSSL 1.0.2 系（OpenSSL 1.0.2s から 1.0.2x までの全てのバージョン）

OpenSSL Project が公開した「OpenSSL Security Advisory [16 February 2021]」によると、OpenSSLにはX509_issuer_and_serial_hash 関数の NULL ポインタ参照の脆弱性（CVE-2021-23841）とCipherUpdate での整数オーバーフローの脆弱性（CVE-2021-23840）、不正な SSLv2 ロールバック保護の脆弱性（CVE-2021-23839）が存在する。

想定される影響としては、不正なフィールドを持つ X.509 証明書の検証処理を行うことでサービス運用妨害（DoS）状態にされる（CVE-2021-23841）、EVP_CipherUpdate、EVP_EncryptUpdate、EVP_DecryptUpdate 関数の呼び出し時にプラットフォーム上の整数の最大値に近い値を入力されることでアプリケーションが不正な動作をしたりクラッシュさせられたりする（CVE-2021-23840）、RSA 署名に付与されるパディングの処理に起因するバージョンロールバック攻撃により攻撃者によって SSLv2 接続を強制される（CVE-2021-23839）可能性がある。

JVNでは、OpenSSL 1.1.1 系はOpenSSL 1.1.1jに、OpenSSL 1.0.2 系（OpenSSL 1.0.2 プレミアムサポート契約ユーザのみ）はOpenSSL 1.0.2yへアップデートするよう注意を呼びかけている。なお、OpenSSL 1.1.0 および OpenSSL 1.0.2 はサポート終了のためアップデートは配信されないため、開発者はOpenSSL 1.1.1j へのアップグレードを推奨している。

《ScanNetSecurity》

編集部おすすめの記事

脆弱性と脅威アクセスランキング

アクセスランキングをもっと見る

OpenSSL に複数の脆弱性、アップデートを呼びかけ

関連リンク

編集部おすすめの記事

特集

Japan Vulnerability Notes（JVN）

脆弱性情報

OpenSSL

脆弱性と脅威アクセスランキング

Assimp にヒープベースのバッファオーバーフローの脆弱性2024.7.26 Fri 8:00

NETGEAR 製ルータにバッファオーバーフローの脆弱性2024.4.26 Fri 8:00

JPCERT/CC、仮想通貨マイニングツールのXMRigの設置を狙った攻撃を順序立てて詳説～対策マニュアルとしても有効2021.5.24 Mon 8:05

スマホアプリ「ピッコマ」に外部サービスの APIキーがハードコードされている問題2024.7.4 Thu 8:00

PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも2021.3.25 Thu 8:00

クリックしていないのにアダルトサイトに登録させる「ゼロクリック詐欺」（シマンテック）2016.1.28 Thu 8:00

HOME SPOT CUBE2 に複数のバッファオーバーフローの脆弱性2024.2.8 Thu 8:00

Androidアプリ「ES File Explorer」にディレクトリトラバーサルの脆弱性（JVN）2014.3.20 Thu 18:53

開封確認要求や大量の空白行… 複数の手法を採用したフィッシングメール確認～ IPA、J-CSIP 運用状況公開2023.11.21 Tue 8:00

「アタッシェケース」にリモートスクリプト実行の脆弱性（JVN）2018.9.3 Mon 8:00

関連リンク

編集部おすすめの記事

特集

Japan Vulnerability Notes（JVN）

脆弱性情報

OpenSSL

脆弱性と脅威 アクセスランキング

Assimp にヒープベースのバッファオーバーフローの脆弱性2024.7.26 Fri 8:00

NETGEAR 製ルータにバッファオーバーフローの脆弱性2024.4.26 Fri 8:00

JPCERT/CC、仮想通貨マイニングツールのXMRigの設置を狙った攻撃を順序立てて詳説～対策マニュアルとしても有効2021.5.24 Mon 8:05

スマホアプリ「ピッコマ」に外部サービスの APIキーがハードコードされている問題2024.7.4 Thu 8:00

PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも2021.3.25 Thu 8:00

クリックしていないのにアダルトサイトに登録させる「ゼロクリック詐欺」（シマンテック）2016.1.28 Thu 8:00

HOME SPOT CUBE2 に複数のバッファオーバーフローの脆弱性2024.2.8 Thu 8:00

Androidアプリ「ES File Explorer」にディレクトリトラバーサルの脆弱性（JVN）2014.3.20 Thu 18:53

開封確認要求や大量の空白行… 複数の手法を採用したフィッシングメール確認 ～ IPA、J-CSIP 運用状況公開2023.11.21 Tue 8:00

「アタッシェケース」にリモートスクリプト実行の脆弱性（JVN）2018.9.3 Mon 8:00

脆弱性と脅威アクセスランキング

開封確認要求や大量の空白行… 複数の手法を採用したフィッシングメール確認～ IPA、J-CSIP 運用状況公開2023.11.21 Tue 8:00