独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は3月29日、OpenSSLにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
OpenSSL 3.1
OpenSSL 3.0
OpenSSL 1.1.1
OpenSSL 1.0.2
OpenSSL Projectでは下記の脆弱性について、OpenSSL Security Advisory [28th March 2023]として公開している。
・リーフ証明書内の無効なポリシーのチェックをスキップする問題(CVE-2023-0465)
証明書のポリシーチェックが有効になっているアプリケーションで証明書の検証時にリーフ証明書内の無効なポリシーを無視する問題がある。
ポリシー処理はデフォルトで無効になっており、コマンドラインユーティリティに「-policy」引数を渡すか、「X509_VERIFY_PARAM_set1_policies()」関数を呼び出すことで有効にできる。
想定される影響としては、証明書検証時にデフォルト以外のオプションを利用するアプリケーションでリーフ証明書のポリシーチェックを回避される可能性がある。
・証明書ポリシーチェックが有効でない問題(CVE-2023-0466)
「X509_VERIFY_PARAM_add0_policy()」関数は、ドキュメント上では証明書のポリシーチェックが有効になると説明されているが、実装上の動作では有効になっておらず、invalidまたはincorrectなポリシーを指定した証明書が検証OKとなる。
想定される影響としては、invalidまたはincorrectなポリシーを指定した証明書が検証OKと判断される可能性がある。
開発者では本脆弱性について、下記のコミットで修正している。また、本脆弱性の深刻度を低と評価しているため、本脆弱性に対応するリリースは行わず通常のリリースサイクルにのっとり次期リリースに取り込まれる、とのこと。
・CVE-2023-0465
commit facfb1ab(3.1ユーザ向け)
commit 1dd43e07(3.0ユーザ向け)
commit b013765a(1.1.1ユーザ向け)
commit 10325176(1.0.2プレミアムサポートカスタマ向け)
・CVE-2023-0466
commit fc814a30(3.1ユーザ向け)
commit 51e8a84c(3.0ユーザ向け)
commit 0d16b7e9(1.1.1ユーザ向け)
commit 73398dea(1.0.2プレミアムサポートカスタマ向け)
