OpenSSL に複数の脆弱性、アップデートを呼びかけ | ScanNetSecurity
2021.03.08(月)

OpenSSL に複数の脆弱性、アップデートを呼びかけ

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月17日、OpenSSL の複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

脆弱性と脅威 セキュリティホール・脆弱性
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月17日、OpenSSL の複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

・CVE-2021-23841、CVE-2021-23840
OpenSSL 1.1.1 系(OpenSSL 1.1.1 から 1.1.1i までの全てのバージョン)
OpenSSL 1.0.2 系(OpenSSL 1.0.2 から 1.0.2x までの全てのバージョン)

・CVE-2021-23839
OpenSSL 1.0.2 系(OpenSSL 1.0.2s から 1.0.2x までの全てのバージョン)

OpenSSL Project が公開した「OpenSSL Security Advisory [16 February 2021]」によると、OpenSSLにはX509_issuer_and_serial_hash 関数の NULL ポインタ参照の脆弱性(CVE-2021-23841)とCipherUpdate での整数オーバーフローの脆弱性(CVE-2021-23840)、不正な SSLv2 ロールバック保護の脆弱性(CVE-2021-23839)が存在する。

想定される影響としては、不正なフィールドを持つ X.509 証明書の検証処理を行うことでサービス運用妨害(DoS)状態にされる(CVE-2021-23841)、EVP_CipherUpdate、EVP_EncryptUpdate、EVP_DecryptUpdate 関数の呼び出し時にプラットフォーム上の整数の最大値に近い値を入力されることでアプリケーションが不正な動作をしたりクラッシュさせられたりする(CVE-2021-23840)、RSA 署名に付与されるパディングの処理に起因するバージョンロールバック攻撃により攻撃者によって SSLv2 接続を強制される(CVE-2021-23839)可能性がある。

JVNでは、OpenSSL 1.1.1 系はOpenSSL 1.1.1jに、OpenSSL 1.0.2 系(OpenSSL 1.0.2 プレミアムサポート契約ユーザのみ)はOpenSSL 1.0.2yへアップデートするよう注意を呼びかけている。なお、OpenSSL 1.1.0 および OpenSSL 1.0.2 はサポート終了のためアップデートは配信されないため、開発者はOpenSSL 1.1.1j へのアップグレードを推奨している。

《ScanNetSecurity》

関連記事

PageTop

特集

アクセスランキング

  1. 公正取引委員会で情報流出、ファイルのグラフをクリックすると個人情報が閲覧可能に

    公正取引委員会で情報流出、ファイルのグラフをクリックすると個人情報が閲覧可能に

  2. 標的型攻撃に使われたMicrosoft Exchange Server の脆弱性に対し修正プログラムを定例外で公開

    標的型攻撃に使われたMicrosoft Exchange Server の脆弱性に対し修正プログラムを定例外で公開

  3. 日経225企業の75%がドメインなりすまし未対策、ProofPoint 調査

    日経225企業の75%がドメインなりすまし未対策、ProofPoint 調査

  4. iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

    iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

  5. 英学校で生徒に配布したノート PC、出荷段階でマルウェアがインストール

    英学校で生徒に配布したノート PC、出荷段階でマルウェアがインストール

  6. クラウド型顧客管理システム設定不備、コナミグループへ不正アクセス

    クラウド型顧客管理システム設定不備、コナミグループへ不正アクセス

  7. 日本ハッカー協会杉浦氏が OSINT を解説、メールアドレスでここまで情報が入手可能

    日本ハッカー協会杉浦氏が OSINT を解説、メールアドレスでここまで情報が入手可能

  8. メール配信作業中のミスが原因で誤送信、1万名分の顧客リストが流出

    メール配信作業中のミスが原因で誤送信、1万名分の顧客リストが流出

  9. ビジネス OSINT とは何か? 経営に正しく役立てる方法  ~  日本ハッカー協会 代表理事 杉浦氏講演

    ビジネス OSINT とは何か? 経営に正しく役立てる方法 ~ 日本ハッカー協会 代表理事 杉浦氏講演

  10. VMware vCenter Serverに脆弱性、解説や影響を受けるシステムを探索する通信も確認

    VMware vCenter Serverに脆弱性、解説や影響を受けるシステムを探索する通信も確認

ランキングをもっと見る