OpenSSLにDoS状態を引き起こされる問題、コミットを提供 | ScanNetSecurity
2024.07.23(火)

OpenSSLにDoS状態を引き起こされる問題、コミットを提供

IPAおよびJPCERT/CCは、OpenSSLにおけるDHキー生成とパラメータチェックに過剰な時間がかかる問題について「JVN」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月9日、OpenSSLにおけるDHキー生成とパラメータチェックに過剰な時間がかかる問題について「Japan Vulnerability Notes(JVN)」で発表した。

 これは、OpenSSL Projectが公開した「OpenSSL Security Advisory [6th November 2023]」(Excessive time spent in DH check / generation with large Q parameter value:CVE-2023-5678)を受けたもの。影響を受けるシステムは以下の通り。

OpenSSL 3.1
OpenSSL 3.0
OpenSSL 1.1.1
OpenSSL 1.0.2

 OpenSSLのDH_generate_key()関数は、過度に大きいPパラメータのチェックは行うが、Qパラメータではそのチェックを行わない。これにより、DH_generate_key()関数を使用してX9.42 DHキーを生成するアプリケーションでは、長い遅延が発生する可能性がある。

 同様に、DH_check_pub_key()関数では、DHパラメータに対する必要なチェックを行わず、PパラメータやQパラメータが大きすぎる場合に脆弱であり、DH_check_pub_key()関数を使用してX9.42DHキーまたはX9.42DHパラメータをチェックするアプリケーションでは、長い遅延が発生する可能性がある。

 DH_generate_key()関数とDH_check_pub_key()関数は、DH_check_pub_key_ex()関数、EVP_PKEY_public_check()関数、EVP_PKEY_generate()関数からも呼び出されるため、これらの関数を呼び出すアプリケーションも同様に影響を受ける可能性がある。

 また、「-pubcheck」オプションを使用した場合のOpenSSL pkeyコマンドラインアプリケーションおよびgenpkeyコマンドラインアプリケーションも本脆弱性の影響を受ける。

 結果として、これらの関数を使用するアプリケーションにおいて、チェック対象のキーやパラメータが信頼できないソースから取得されたものである場合、サービス運用妨害(DoS)状態となる可能性がある。

 対策方法はアップデートであるが、開発者によるこの脆弱性の公開時点では、深刻度が低であるため、2023年11月9日現在、この脆弱性の修正のみを目的とした修正は提供されておらず、OpenSSL gitリポジトリで下記のコミットを提供している。今回のパッチは次回のリリースで反映する予定としている。

 想定される影響としては、invalidまたはincorrectなポリシーを指定した証明書が検証OKと判断される可能性がある。

 開発者では本脆弱性について、下記のコミットで修正している。また、本脆弱性の深刻度を低と評価しているため、本脆弱性に対応するリリースは行わず通常のリリースサイクルにのっとり次期リリースに取り込まれる、とのこと。

・commit ddeb4b6c6d527e54ce9a99cba785c0f7776e54b6(3.1系ユーザ向け)
・commit db925ae2e65d0d925adef429afc37f75bd1c2017(3.0系ユーザ向け)
・commit 710fee740904b6290fef0dd5536fbcedbc38ff0c(1.1.1系プレミアムサポートユーザ向け)
・commit 34efaef6c103d636ab507a0cc34dca4d3aecc055(1.0.2系プレミアムサポートユーザ向け)

《吉澤 亨史( Kouji Yoshizawa )》

特集

関連記事

PageTop

アクセスランキング

  1. ランサムウェア集団が謝罪

    ランサムウェア集団が謝罪

  2. 富士通の複数の業務パソコンに高度な手法で攻撃を行うマルウェア、複製指示のコマンドを実行し拡大

    富士通の複数の業務パソコンに高度な手法で攻撃を行うマルウェア、複製指示のコマンドを実行し拡大

  3. 8/8・8/9 セコムトラストシステムズ「IDaaSでここまでできる!」ウェビナー開催 ~ 便利機能 注意点 MFA 製品別特長 ほか

    8/8・8/9 セコムトラストシステムズ「IDaaSでここまでできる!」ウェビナー開催 ~ 便利機能 注意点 MFA 製品別特長 ほかPR

  4. 世界規模の障害発生 ~ CrowdStrike CEO ジョージ・カーツ 公式コメント

    世界規模の障害発生 ~ CrowdStrike CEO ジョージ・カーツ 公式コメント

  5. 取締役や幹部への罰金 禁固 罷免 解雇 ~ サイバー攻撃後の被処罰最多は APJ 地域

    取締役や幹部への罰金 禁固 罷免 解雇 ~ サイバー攻撃後の被処罰最多は APJ 地域

ランキングをもっと見る
PageTop