独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は10月18日、OpenSSLにおける境界外書き込みの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
OpenSSL 3.3.3 より前の 3.3.0系バージョン
OpenSSL 3.2.4 より前の 3.2.0系バージョン
OpenSSL 3.1.8 より前の 3.1.0系バージョン
OpenSSL 3.0.16 より前の 3.0.0系バージョン
OpenSSL 1.1.1zb より前の 1.1.1系バージョン
OpenSSL 1.0.2zl より前の 1.0.2系バージョン
OpenSSLには、信頼できない値を用いて低レベルのGF(2^m)楕円曲線APIを使用すると、メモリの境界外読み取りまたは書き込みが発生する問題(CVE-2024-9143)があり、アプリケーションのクラッシュあるいはリモートコード実行が行われる可能性がある。
ただし、楕円曲線暗号を使用するプロトコルでは、いわゆる「名前付きの曲線」のみがサポートされるか、もしくは曲線パラメータを指定できる場合に、本脆弱性を悪用できるような問題のある入力値を表現できないバイナリ曲線のエンコーディングが指定されており、本脆弱性が悪用可能となるようなアプリケーションが稼働している可能性は低いと指摘されている。
開発者は2024年10月18日現在、本脆弱性の深刻度を低と評価しており、OpenSSLのgitリポジトリで修正を行っているが、本脆弱性への対応のみを目的とした修正バージョンを提供しておらず、次回のリリースで今回の修正を反映予定。
