JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は5月31日、「JVNVU#94584169: OpenSSLのASN.1 オブジェクト識別子変換における処理時間遅延の問題(Security Advisory [30th May 2023])」において、OpenSSLに重大な脆弱性が存在すると伝えた。報告されている脆弱性を悪用されると、サービス運用妨害(DoS: Denial of Service)を受ける危険性があるとされている。
脆弱性の詳細は、OpenSSLプロジェクトによる次のセキュリティアドバイザリにまとめられている。
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- OpenSSL 3.0.9より前の3.0系
- OpenSSL 3.1.1より前の3.1系
- OpenSSL 1.1.1
- OpenSSL 1.0.2
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- OpenSSL 3.0.9(3.0系ユーザ向け)
- OpenSSL 3.1.1(3.1系ユーザ向け)
- OpenSSL 1.1.1u(1.1.1ユーザ向け)
- OpenSSL 1.0.2zh(1.0.2プレミアムサポートカスタマ向け)