OpenSSLにDoS攻撃につながる脆弱性、修正は次期リリースから

画像提供：マイナビニュース

JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は4月9日、「JVNVU#96443143: OpenSSLにおけるサービス運用妨害（DoS）の脆弱性（Security Advisory [8th April 2024]）」において、OpenSSLに脆弱性が存在するとして、注意を喚起した。この脆弱性を悪用されると、サービス運用妨害(DoS: Denial of Service)攻撃を実行される可能性がある。

○脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

OpenSSL Security Advisory [8th April 2024]

修正された脆弱性の情報(CVE)は次のとおり。

CVE-2024-2511 - TLS(Transport Layer Security)v1.3のセッション処理に限定されないメモリ増加の脆弱性。攻撃者は特定のサーバ設定を悪用してサービス運用妨害(DoS)につながるメモリ増加を引き起こす可能性がある

○脆弱性の影響を受ける製品

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

OpenSSL バージョン3.2
OpenSSL バージョン3.1
OpenSSL バージョン3.0
OpenSSL バージョン1.1.1

この脆弱性はTLSv1.3をサポートするTLSサーバにのみ影響するため、TLSクライアントには影響しない。また、OpenSSL 3.2、3.1、3.0のFIPSモジュール、OpenSSL バージョン1.0.2にも影響しない。
○脆弱性が修正される予定の製品

この脆弱性は深刻度が低いと評価されているため、修正アップデートは提供されない。次に示す将来のリリースに修正が含まれる予定。

OpenSSL バージョン3.2.2
OpenSSL バージョン3.1.6
OpenSSL バージョン3.0.14
OpenSSL バージョン1.1.1y (プレミアム サポートの顧客のみ)

○回避策

この脆弱性は、次の条件を満たすTLSv1.3を使用するサーバに影響を及ぼす。

デフォルトではないSSL_OP_NO_TICKETオプションを設定している
early_dataサポートとデフォルトのアンチリプレイ保護を使用していない

これら条件を満たし、影響を受けるサーバを運用している場合は、設定を変更することで影響を回避できる可能性がある。また、OpenSSL Gitリポジトリの修正コミット(ソースコード)をビルドし、バイナリーを差し替えることでも影響を回避することができる。修正コミットはe9d7083e(OpenSSL 3.2)、7e4d731b(OpenSSL 3.1)、b52867a9 (OpenSSL 3.0)からダウンロードできる。
（後藤大地）