独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は3月23日、OpenSSLのX.509ポリシー制限の検証における過剰なリソース消費の問題について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
OpenSSL 3.1、3.0、1.1.1、1.0.2
OpenSSLのポリシー制限が含まれているX.509証明書チェーンの検証にて、リソースが過剰に消費される問題があり、攻撃者によって細工された計算リソースを過剰に消費する証明書チェーンを処理させられることで、サービス運用妨害(DoS)攻撃を受ける可能性がある。
ポリシー処理はデフォルトで無効になっており、コマンドラインユーティリティで「-policy」引数を渡すか、「X509_VERIFY_PARAM_set1_policies()」関数を呼び出すことで有効となる。
開発者では2023年3月23日現在、本脆弱性の深刻度が低であるため正式リリースを提供しておらず、下記のコミットで修正されている。
commit 2017771e(3.1ユーザ向け)
commit 959c59c7(3.0ユーザ向け)
commit 879f7080(1.1.1ユーザ向け)
commit 2dcd4f1e(1.0.2プレミアムサポートカスタマ向け)
なお、以下のリリース提供後のアップグレードが必要とのこと。
OpenSSL 3.1.1(3.1ユーザ向け)
OpenSSL 3.0.9(3.0ユーザ向け)
OpenSSL 1.1.1u(1.1.1ユーザ向け)
OpenSSL 1.0.2zh(1.0.2プレミアムサポートカスタマ向け)
