OpenSSL に複数の脆弱性、アップデートを呼びかけ | ScanNetSecurity
2021.03.02(火)

OpenSSL に複数の脆弱性、アップデートを呼びかけ

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月17日、OpenSSL の複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

脆弱性と脅威 セキュリティホール・脆弱性
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月17日、OpenSSL の複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

・CVE-2021-23841、CVE-2021-23840
OpenSSL 1.1.1 系(OpenSSL 1.1.1 から 1.1.1i までの全てのバージョン)
OpenSSL 1.0.2 系(OpenSSL 1.0.2 から 1.0.2x までの全てのバージョン)

・CVE-2021-23839
OpenSSL 1.0.2 系(OpenSSL 1.0.2s から 1.0.2x までの全てのバージョン)

OpenSSL Project が公開した「OpenSSL Security Advisory [16 February 2021]」によると、OpenSSLにはX509_issuer_and_serial_hash 関数の NULL ポインタ参照の脆弱性(CVE-2021-23841)とCipherUpdate での整数オーバーフローの脆弱性(CVE-2021-23840)、不正な SSLv2 ロールバック保護の脆弱性(CVE-2021-23839)が存在する。

想定される影響としては、不正なフィールドを持つ X.509 証明書の検証処理を行うことでサービス運用妨害(DoS)状態にされる(CVE-2021-23841)、EVP_CipherUpdate、EVP_EncryptUpdate、EVP_DecryptUpdate 関数の呼び出し時にプラットフォーム上の整数の最大値に近い値を入力されることでアプリケーションが不正な動作をしたりクラッシュさせられたりする(CVE-2021-23840)、RSA 署名に付与されるパディングの処理に起因するバージョンロールバック攻撃により攻撃者によって SSLv2 接続を強制される(CVE-2021-23839)可能性がある。

JVNでは、OpenSSL 1.1.1 系はOpenSSL 1.1.1jに、OpenSSL 1.0.2 系(OpenSSL 1.0.2 プレミアムサポート契約ユーザのみ)はOpenSSL 1.0.2yへアップデートするよう注意を呼びかけている。なお、OpenSSL 1.1.0 および OpenSSL 1.0.2 はサポート終了のためアップデートは配信されないため、開発者はOpenSSL 1.1.1j へのアップグレードを推奨している。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×