OpenSSL の ASN.1 オブジェクト識別子変換に処理時間遅延の問題 | ScanNetSecurity
2024.03.19(火)

OpenSSL の ASN.1 オブジェクト識別子変換に処理時間遅延の問題

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は5月31日、OpenSSLのASN.1 オブジェクト識別子変換における処理時間遅延の問題について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は5月31日、OpenSSLのASN.1 オブジェクト識別子変換における処理時間遅延の問題について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

OpenSSL 3.0.9より前の3.0系
OpenSSL 3.1.1より前の3.1系
OpenSSL 1.1.1
OpenSSL 1.0.2

 OpenSSL Projectから公開された OpenSSL Security Advisory [30th May 2023](Possible DoS translating ASN.1 object identifiers(CVE-2023-2650))によると、OpenSSLの OBJ_obj2txt() は ASN.1 OBJECT IDENTIFIER を 数値テキスト形式に変換するが、OBJECT IDENTIFIER には一連の番号(サブ識別子)で構成されサイズ制限がないため、サブ識別子の一つが非常に大きい場合、数値テキストへの変換に非常に長い時間を要する問題がある。

 OBJ_obj2txt() を直接使用するアプリケーションや、メッセージサイズの制限がない OpenSSL のサブシステム(OCSP、PKCS7/SMIME、CMS、CMP/CRMF、TS)を使用するアプリケーションの場合、メッセージ処理時に遅延が発生し、サービス運用妨害(DoS)攻撃を受ける可能性がある。

 JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。なお開発者は、本脆弱性への対策版として次のバージョンをリリースしている。

OpenSSL 3.0.9(3.0系ユーザ向け)
OpenSSL 3.1.1(3.1系ユーザ向け)
OpenSSL 1.1.1u(1.1.1ユーザ向け)
OpenSSL 1.0.2zh(1.0.2プレミアムサポートカスタマ向け)

《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×