OpenSSLのDH_check()関数にDHキーとパラメータのチェックに過剰な時間がかかる問題

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は8月2日、OpenSSLのDH_check()関数におけるDHキーとパラメータのチェックに過剰な時間がかかる問題について「Japan Vulnerability Notes（JVN）」で発表した。影響を受けるシステムは以下の通り。

OpenSSL 3.1
OpenSSL 3.0
OpenSSL 1.1.1
OpenSSL 1.0.2

　OpenSSL Projectより公開された、OpenSSL Security Advisory [31st July 2023]によると、OpenSSLのDH_check()関数は、DHパラメータに対してさまざまなチェックを実行しており、これらのチェックの一部では、qパラメータの値が大きい場合処理速度が遅くなるが、DH_check()関数で利用されるqパラメータはpパラメータより小さいと定義されているため、qパラメータの値の方が大きい場合には不要な追加チェックが実行されていたとのこと。

　DH_check()関数は、DH_check_ex()関数とEVP_PKEY_param_check()関数から呼び出されるため、DH_check()関数だけでなくこれらの関数を呼び出すアプリケーションも影響を受ける可能性がある。「-check」オプションを使用するOpenSSL dhparamおよびpkeyparamコマンドラインアプリケーションも本脆弱性の影響を受ける。

　想定される影響としては、DH_check()、DH_check_ex()、または EVP_PKEY_param_check()関数を使用してDHキーまたはDHパラメータをチェックするアプリケーションでは、大きな遅延が発生する可能性があるため、チェックされるキーまたはパラメータが信頼できないソースから取得された場合、サービス運用妨害（DoS）状態となる可能性がある。

　JVNでは、アップデートを呼びかけている。なお、開発者による本脆弱性公開時点では、深刻度が低であるため、OpenSSL gitリポジトリにて、commitのみを提供していたが、現地時間2023年8月1日に本脆弱性を修正した下記のバージョンがリリースされている。

OpenSSL 1.1.1v
OpenSSL 3.0.10
OpenSSL 3.1.2