JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は4月9日、「JVNVU#96443143: OpenSSLにおけるサービス運用妨害(DoS)の脆弱性(Security Advisory [8th April 2024])」において、OpenSSLに脆弱性が存在するとして、注意を喚起した。この脆弱性を悪用されると、サービス運用妨害(DoS: Denial of Service)攻撃を実行される可能性がある。

  • JVNVU#96443143: OpenSSLにおけるサービス運用妨害(DoS)の脆弱性(Security Advisory [8th April 2024])

    JVNVU#96443143: OpenSSLにおけるサービス運用妨害(DoS)の脆弱性(Security Advisory [8th April 2024])

脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

修正された脆弱性の情報(CVE)は次のとおり。

  • CVE-2024-2511 - TLS(Transport Layer Security)v1.3のセッション処理に限定されないメモリ増加の脆弱性。攻撃者は特定のサーバ設定を悪用してサービス運用妨害(DoS)につながるメモリ増加を引き起こす可能性がある

脆弱性の影響を受ける製品

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • OpenSSL バージョン3.2
  • OpenSSL バージョン3.1
  • OpenSSL バージョン3.0
  • OpenSSL バージョン1.1.1

この脆弱性はTLSv1.3をサポートするTLSサーバにのみ影響するため、TLSクライアントには影響しない。また、OpenSSL 3.2、3.1、3.0のFIPSモジュール、OpenSSL バージョン1.0.2にも影響しない。

脆弱性が修正される予定の製品

この脆弱性は深刻度が低いと評価されているため、修正アップデートは提供されない。次に示す将来のリリースに修正が含まれる予定。

  • OpenSSL バージョン3.2.2
  • OpenSSL バージョン3.1.6
  • OpenSSL バージョン3.0.14
  • OpenSSL バージョン1.1.1y (プレミアム サポートの顧客のみ)

回避策

この脆弱性は、次の条件を満たすTLSv1.3を使用するサーバに影響を及ぼす。

  • デフォルトではないSSL_OP_NO_TICKETオプションを設定している
  • early_dataサポートとデフォルトのアンチリプレイ保護を使用していない

これら条件を満たし、影響を受けるサーバを運用している場合は、設定を変更することで影響を回避できる可能性がある。また、OpenSSL Gitリポジトリの修正コミット(ソースコード)をビルドし、バイナリーを差し替えることでも影響を回避することができる。修正コミットはe9d7083e(OpenSSL 3.2)7e4d731b(OpenSSL 3.1)b52867a9 (OpenSSL 3.0)からダウンロードできる。