独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は5月31日、OpenSSLのASN.1 オブジェクト識別子変換における処理時間遅延の問題について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
OpenSSL 3.0.9より前の3.0系
OpenSSL 3.1.1より前の3.1系
OpenSSL 1.1.1
OpenSSL 1.0.2
OpenSSL Projectから公開された OpenSSL Security Advisory [30th May 2023](Possible DoS translating ASN.1 object identifiers(CVE-2023-2650))によると、OpenSSLの OBJ_obj2txt() は ASN.1 OBJECT IDENTIFIER を 数値テキスト形式に変換するが、OBJECT IDENTIFIER には一連の番号(サブ識別子)で構成されサイズ制限がないため、サブ識別子の一つが非常に大きい場合、数値テキストへの変換に非常に長い時間を要する問題がある。
OBJ_obj2txt() を直接使用するアプリケーションや、メッセージサイズの制限がない OpenSSL のサブシステム(OCSP、PKCS7/SMIME、CMS、CMP/CRMF、TS)を使用するアプリケーションの場合、メッセージ処理時に遅延が発生し、サービス運用妨害(DoS)攻撃を受ける可能性がある。
JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。なお開発者は、本脆弱性への対策版として次のバージョンをリリースしている。
OpenSSL 3.0.9(3.0系ユーザ向け)
OpenSSL 3.1.1(3.1系ユーザ向け)
OpenSSL 1.1.1u(1.1.1ユーザ向け)
OpenSSL 1.0.2zh(1.0.2プレミアムサポートカスタマ向け)
