OpenSSL に不正な RSA 公開鍵のチェックに時間を要する問題 | ScanNetSecurity
2026.07.15(水)

OpenSSL に不正な RSA 公開鍵のチェックに時間を要する問題

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は1月16日、OpenSSLにおける不正なRSA公開鍵のチェックに時間を要する問題について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は1月16日、OpenSSLにおける不正なRSA公開鍵のチェックに時間を要する問題について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

OpenSSL 3.0.0 から 3.0.12
OpenSSL 3.1.0 から 3.1.4
OpenSSL 3.2.0
※OpenSSL 1.1.1および1.0.2には本脆弱性の影響はない

 OpenSSL には、RSAのmodulusであるnが大きすぎる素数の積で構成された、RSA公開鍵をEVP_PKEY_public_check()関数でチェックする際に、時間を要する問題があり、EVP_PKEY_public_check()関数を呼び出し信頼できないソースから取得したRSA キーをチェックするアプリケーションは、サービス運用妨害(DoS)状態となる可能性がある。EVP_PKEY_public_check()関数は、OpenSSL pkeyコマンドラインアプリケーションからのみ呼び出され、信頼できないデータに対して、「-pubin」および「-check」オプションを使用するアプリケーションも影響を受ける。

 OpenSSL Project では1月16日現在、本脆弱性の修正を目的としたバージョンを提供しておらず、OpenSSL gitリポジトリにて、下記の修正commitが行われている。なお、OpenSSL Projectでは、これらを次回のリリースで反映予定。

commit 0b0f7abf(3.2系)
commit a830f551(3.1系)
commit 18c02492(3.0系)

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 村田製作所 IT環境への不正アクセス、自動車保険の顧客情報一部が外部に漏えい

    村田製作所 IT環境への不正アクセス、自動車保険の顧客情報一部が外部に漏えい

  2. 日本交通が不正アクセスでシステムを緊急遮断、タクシー配車やハイヤー予約等に一部影響

    日本交通が不正アクセスでシステムを緊急遮断、タクシー配車やハイヤー予約等に一部影響

  3. 高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

    高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

  4. KDDI の ISP 事業者向けメールシステムへの不正アクセス、JCOM の顧客 2,593,076 名分のメールアドレスが漏えい

    KDDI の ISP 事業者向けメールシステムへの不正アクセス、JCOM の顧客 2,593,076 名分のメールアドレスが漏えい

  5. アフラック不正アクセスで日本理学療法士協会が会員情報の有無を確認

    アフラック不正アクセスで日本理学療法士協会が会員情報の有無を確認

ランキングをもっと見る
PageTop