OpenSSL に NULL ポインタ参照の脆弱性 | ScanNetSecurity
2024.06.17(月)

OpenSSL に NULL ポインタ参照の脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は1月26日、OpenSSLにおけるNULLポインタ参照の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は1月26日、OpenSSLにおけるNULLポインタ参照の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

OpenSSL 3.2
OpenSSL 3.1
OpenSSL 3.0
OpenSSL 1.1.1
OpenSSL 1.0.2

 OpenSSLにはPKCS#12形式のファイルを処理する際、特定のフィールドがNULLである場合にNULLポインタ参照が発生する脆弱性が存在し、NULLポインタ参照が発生することでアプリケーションがサービス運用妨害(DoS)状態となる可能性がある。本脆弱性の影響を受けるAPIは以下の通り。

KCS12_parse()
PKCS12_unpack_p7data()
PKCS12_unpack_p7encdata()
PKCS12_unpack_authsafes()
PKCS12_newpass()

 OpenSSL Project では2024年1月26日現在、修正版を提供していないが、下記バージョンで修正予定。

OpenSSL 3.2.1(3.2系ユーザ向け)
OpenSSL 3.1.5(3.1系ユーザ向け)
OpenSSL 3.0.13(3.0系ユーザ向け)
OpenSSL 1.1.1x(1.1.1プレミアムサポートカスタマ向け)
OpenSSL 1.0.2zj(1.0.2プレミアムサポートカスタマ向け)

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

    イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

  2. 役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

    役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

  3. 「ネクストレベル」に不正アクセス、496,119 件のワーカーの個人情報流出

    「ネクストレベル」に不正アクセス、496,119 件のワーカーの個人情報流出

  4. ニデックインスツルメンツにランサムウェア攻撃、複数のサーバ内ファイルが暗号化被害

    ニデックインスツルメンツにランサムウェア攻撃、複数のサーバ内ファイルが暗号化被害

  5. 約 30 名の学生がフィッシング被害に ~ 明治薬科大学教員の M365 アカウントに不正アクセス

    約 30 名の学生がフィッシング被害に ~ 明治薬科大学教員の M365 アカウントに不正アクセス

  6. KADOKAWA グループ複数サイトで障害、サイバー攻撃の可能性

    KADOKAWA グループ複数サイトで障害、サイバー攻撃の可能性

  7. 日経BP従業員メールアカウントに不正アクセス、33名の個人情報流出の可能性

    日経BP従業員メールアカウントに不正アクセス、33名の個人情報流出の可能性

  8. オイレス工業にランサムウェア攻撃、生産活動に影響なし 出荷通常通り

    オイレス工業にランサムウェア攻撃、生産活動に影響なし 出荷通常通り

  9. IPA、中小企業向けの内部不正防止対策の報告書公開

    IPA、中小企業向けの内部不正防止対策の報告書公開

  10. 九州電力グループのキューヘンにランサムウェア攻撃、社内情報の一部が暗号化被害

    九州電力グループのキューヘンにランサムウェア攻撃、社内情報の一部が暗号化被害

ランキングをもっと見る