JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)はこのほど、「JVNVU#94875946: OpenSSLにおけるサービス運用妨害(DoS)の脆弱性(Security Advisory [16th May 2024])」において、OpenSSLにサービス運用妨害(DoS: Denial of Service)の脆弱性が存在すると伝えた。

  • JVNVU#94875946: OpenSSLにおけるサービス運用妨害(DoS)の脆弱性(Security Advisory [16th May 2024])

    JVNVU#94875946: OpenSSLにおけるサービス運用妨害(DoS)の脆弱性(Security Advisory [16th May 2024])

脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

脆弱性の情報(CVE)は次のとおり。

  • CVE-2024-4603 - 長過ぎるDSA鍵またはパラメーターの確認に非常に時間がかかる。その結果、サービス運用妨害につながる可能性がある

脆弱性が存在する製品

脆弱性が存在する製品およびバージョンは次のとおり。

  • OpenSSL 3.3
  • OpenSSL 3.2
  • OpenSSL 3.1
  • OpenSSL 3.0

OpenSSL 1.1.1および1.0.2はこの脆弱性の影響を受けない。

脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

  • OpenSSL 3.3 commit 53ea0648
  • OpenSSL 3.2 commit da343d06
  • OpenSSL 3.1 commit 9c39b385
  • OpenSSL 3.0 commit 3559e868

OpenSSLの開発者は脆弱性の深刻度を低いと評価しており、緊急の修正パッチを提供していない。影響を受けるシステムを運用しており速やかに対策したい場合は、GitHubリポジトリから上記の修正版ソースコードを取得し、手動でアップデートする必要がある。