JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は4月9日、「JVNVU#96443143: OpenSSLにおけるサービス運用妨害(DoS)の脆弱性(Security Advisory [8th April 2024])」において、OpenSSLに脆弱性が存在するとして、注意を喚起した。この脆弱性を悪用されると、サービス運用妨害(DoS: Denial of Service)攻撃を実行される可能性がある。
脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
修正された脆弱性の情報(CVE)は次のとおり。
- CVE-2024-2511 - TLS(Transport Layer Security)v1.3のセッション処理に限定されないメモリ増加の脆弱性。攻撃者は特定のサーバ設定を悪用してサービス運用妨害(DoS)につながるメモリ増加を引き起こす可能性がある
脆弱性の影響を受ける製品
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- OpenSSL バージョン3.2
- OpenSSL バージョン3.1
- OpenSSL バージョン3.0
- OpenSSL バージョン1.1.1
この脆弱性はTLSv1.3をサポートするTLSサーバにのみ影響するため、TLSクライアントには影響しない。また、OpenSSL 3.2、3.1、3.0のFIPSモジュール、OpenSSL バージョン1.0.2にも影響しない。
脆弱性が修正される予定の製品
この脆弱性は深刻度が低いと評価されているため、修正アップデートは提供されない。次に示す将来のリリースに修正が含まれる予定。
- OpenSSL バージョン3.2.2
- OpenSSL バージョン3.1.6
- OpenSSL バージョン3.0.14
- OpenSSL バージョン1.1.1y (プレミアム サポートの顧客のみ)
回避策
この脆弱性は、次の条件を満たすTLSv1.3を使用するサーバに影響を及ぼす。
- デフォルトではないSSL_OP_NO_TICKETオプションを設定している
- early_dataサポートとデフォルトのアンチリプレイ保護を使用していない
これら条件を満たし、影響を受けるサーバを運用している場合は、設定を変更することで影響を回避できる可能性がある。また、OpenSSL Gitリポジトリの修正コミット(ソースコード)をビルドし、バイナリーを差し替えることでも影響を回避することができる。修正コミットはe9d7083e(OpenSSL 3.2)、7e4d731b(OpenSSL 3.1)、b52867a9 (OpenSSL 3.0)からダウンロードできる。