JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)はこのほど、「JVNVU#94875946: OpenSSLにおけるサービス運用妨害(DoS)の脆弱性(Security Advisory [16th May 2024])」において、OpenSSLにサービス運用妨害(DoS: Denial of Service)の脆弱性が存在すると伝えた。
脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
脆弱性の情報(CVE)は次のとおり。
- CVE-2024-4603 - 長過ぎるDSA鍵またはパラメーターの確認に非常に時間がかかる。その結果、サービス運用妨害につながる可能性がある
脆弱性が存在する製品
脆弱性が存在する製品およびバージョンは次のとおり。
- OpenSSL 3.3
- OpenSSL 3.2
- OpenSSL 3.1
- OpenSSL 3.0
OpenSSL 1.1.1および1.0.2はこの脆弱性の影響を受けない。
脆弱性が修正された製品
脆弱性が修正された製品およびバージョンは次のとおり。
- OpenSSL 3.3 commit 53ea0648
- OpenSSL 3.2 commit da343d06
- OpenSSL 3.1 commit 9c39b385
- OpenSSL 3.0 commit 3559e868
OpenSSLの開発者は脆弱性の深刻度を低いと評価しており、緊急の修正パッチを提供していない。影響を受けるシステムを運用しており速やかに対策したい場合は、GitHubリポジトリから上記の修正版ソースコードを取得し、手動でアップデートする必要がある。