OpenSSLのDH_check()関数にDHキーとパラメータのチェックに過剰な時間がかかる問題

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は7月20日、OpenSSLのDH_check()関数におけるDHキーとパラメータのチェックに過剰な時間がかかる問題について「Japan Vulnerability Notes（JVN）」で発表した。影響を受けるシステムは以下の通り。

OpenSSL 3.1
OpenSSL 3.0
OpenSSL 1.1.1
OpenSSL 1.0.2

　OpenSSLのDH_check()関数は、DHパラメータに対してさまざまなチェックを実行しており、これらのチェックの1つでは係数（pパラメータ）が大きすぎないことを確認しているが、非常に大きな係数を使用しようとすると処理速度が遅くなる。

　OpenSSLでは通常、長さが10,000 ビットを超える係数を使用しないが、DH_check()関数は指定されたキーまたはパラメタが大きすぎる場合でもチェックを行う。DH_check()関数は、DH_check_ex()関数とEVP_PKEY_param_check()関数から呼び出されるため、DH_check()関数だけでなくこれらの関数を呼び出すアプリケーション、「-check」オプションを使用するOpenSSL dhparamおよびpkeyparamコマンドラインアプリケーションも影響を受ける可能性がある。

　想定される影響としては、DH_check()、DH_check_ex()、または EVP_PKEY_param_check() 関数を使用して DHキーまたは DHパラメータをチェックするアプリケーションでは、大きな遅延が発生する可能性があるため、チェックされるキーまたはパラメータが信頼できないソースから取得された場合、サービス運用妨害（DoS）状態となる可能性がある。

　OpenSSL Projectでは、本脆弱性の深刻度が低であるため、2023年7月20日現在、本脆弱性の修正のみを目的とした修正を提供しておらず、OpenSSL gitリポジトリにて、下記のcommitを提供している。次回のリリースで今回のパッチを反映する予定。

commit fc9867c1（3.1系ユーザ向け）
commit 1fa20cf2（3.0系ユーザ向け）
commit 8780a896（1.1.1系ユーザ向け）
commit 9a0a4d3c（1.0.2系プレミアムサポートユーザ向け）