OpenSSLに任意のコード実行につながる脆弱性、注意を

画像提供：マイナビニュース

JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は5月30日、「JVNVU#96872634: OpenSSLにおける解放済みメモリー使用（user-after-free）の脆弱性（Security Advisory [28th May 2024]）」において、OpenSSLに脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によって任意のコードを実行される可能性がある。

○脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

openssl.org/news/secadv/20240528.txt

脆弱性の情報(CVE)は次のとおり。

CVE-2024-4741 - SSL_free_buffersに解放後使用(UAF: use-after-free)の脆弱性。SSL_free_buffersを直接呼び出すアプリケーションにのみ影響する

○脆弱性が存在する製品

脆弱性が存在するとされる製品およびバージョンは次のとおり。

OpenSSL 3.3
OpenSSL 3.2
OpenSSL 3.1
OpenSSL 3.0
OpenSSL 1.1.1

なお、OpenSSL 1.0.2およびFIPSモジュールはこの脆弱性の影響を受けない。
○脆弱性を修正した製品

脆弱性を修正した製品およびバージョンは次のとおり。

OpenSSL 3.3 commit e5093133c3
OpenSSL 3.2 commit c88c3de510
OpenSSL 3.1 commit 704f725b96
OpenSSL 3.0 commit b3f0eb0a29
OpenSSL 1.1.1 commit f7a045f314

OpenSSL 1.1.1の修正はプレミアムサポートの顧客に限り利用可能。また、これら修正は次のリリースに含まれる予定。

OpenSSL 3.3.1
OpenSSL 3.2.2
OpenSSL 3.1.6
OpenSSL 3.0.14
OpenSSL 1.1.1y

OpenSSLの開発者は脆弱性の深刻度を低いと評価しており、緊急の修正パッチを提供していない。影響を受けるシステムを運用しており速やかに対策したい場合は、GitHubリポジトリーから上記の修正版ソースコードを取得し、手動でアップデートする必要がある。
（後藤大地）