独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は1月16日、OpenSSLにおける不正なRSA公開鍵のチェックに時間を要する問題について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
OpenSSL 3.0.0 から 3.0.12
OpenSSL 3.1.0 から 3.1.4
OpenSSL 3.2.0
※OpenSSL 1.1.1および1.0.2には本脆弱性の影響はない
OpenSSL には、RSAのmodulusであるnが大きすぎる素数の積で構成された、RSA公開鍵をEVP_PKEY_public_check()関数でチェックする際に、時間を要する問題があり、EVP_PKEY_public_check()関数を呼び出し信頼できないソースから取得したRSA キーをチェックするアプリケーションは、サービス運用妨害(DoS)状態となる可能性がある。EVP_PKEY_public_check()関数は、OpenSSL pkeyコマンドラインアプリケーションからのみ呼び出され、信頼できないデータに対して、「-pubin」および「-check」オプションを使用するアプリケーションも影響を受ける。
OpenSSL Project では1月16日現在、本脆弱性の修正を目的としたバージョンを提供しておらず、OpenSSL gitリポジトリにて、下記の修正commitが行われている。なお、OpenSSL Projectでは、これらを次回のリリースで反映予定。
commit 0b0f7abf(3.2系)
commit a830f551(3.1系)
commit 18c02492(3.0系)
