OpenSSL に境界外書き込みの脆弱性 | ScanNetSecurity
2026.07.07(火)

OpenSSL に境界外書き込みの脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は10月18日、OpenSSLにおける境界外書き込みの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は10月18日、OpenSSLにおける境界外書き込みの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

OpenSSL 3.3.3 より前の 3.3.0系バージョン
OpenSSL 3.2.4 より前の 3.2.0系バージョン
OpenSSL 3.1.8 より前の 3.1.0系バージョン
OpenSSL 3.0.16 より前の 3.0.0系バージョン
OpenSSL 1.1.1zb より前の 1.1.1系バージョン
OpenSSL 1.0.2zl より前の 1.0.2系バージョン

 OpenSSLには、信頼できない値を用いて低レベルのGF(2^m)楕円曲線APIを使用すると、メモリの境界外読み取りまたは書き込みが発生する問題(CVE-2024-9143)があり、アプリケーションのクラッシュあるいはリモートコード実行が行われる可能性がある。

 ただし、楕円曲線暗号を使用するプロトコルでは、いわゆる「名前付きの曲線」のみがサポートされるか、もしくは曲線パラメータを指定できる場合に、本脆弱性を悪用できるような問題のある入力値を表現できないバイナリ曲線のエンコーディングが指定されており、本脆弱性が悪用可能となるようなアプリケーションが稼働している可能性は低いと指摘されている。

 開発者は2024年10月18日現在、​本脆弱性の深刻度を低と評価しており、OpenSSLのgitリポジトリで修正を行っているが、本脆弱性への対応のみを目的とした修正バージョンを提供しておらず、次回のリリースで今回の修正を反映予定。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. マネーフォワードが利用する「GitHub」への不正アクセス、流出した可能性が判明した個人データの詳細公表

    マネーフォワードが利用する「GitHub」への不正アクセス、流出した可能性が判明した個人データの詳細公表

  2. 常石グループへのフィッシングメールで認証情報が漏えい、再発防止策を発表

    常石グループへのフィッシングメールで認証情報が漏えい、再発防止策を発表

  3. フェースでシステム障害、不正アクセスに起因するランサムウェア被害の可能性

    フェースでシステム障害、不正アクセスに起因するランサムウェア被害の可能性

  4. バックアップで復旧・運営に支障無し・データ流出確認されず・金銭支払も無し ~ 武蔵野大学がランサムウェア感染

    バックアップで復旧・運営に支障無し・データ流出確認されず・金銭支払も無し ~ 武蔵野大学がランサムウェア感染

  5. セキュリティ企業の脅威ハンターがランサムウェア犯に FBI の捜査情報を漏洩

    セキュリティ企業の脅威ハンターがランサムウェア犯に FBI の捜査情報を漏洩

ランキングをもっと見る
PageTop