平素より、弊社スカイアーチネットワークスのサービスをご利用頂きまして、誠に有難う御座います。
OpenSSLにて脆弱性が報告されました。脆弱性情報と対応に関して下記の通り報告させて頂きます。
JVNVU#94508446
OpenSSL に複数の脆弱性
概要
OpenSSL には、複数の脆弱性が存在します。
影響を受けるシステム
CVE-2021-23841、CVE-2021-23840
Open,p>SSL 1.1.1 系
OpenSSL 1.1.1 から 1.1.1i までの全てのバージョン
OpenSSL 1.0.2 系
OpenSSL 1.0.2 から 1.0.2x までの全てのバージョン
CVE-2021-23839
OpenSSL 1.0.2 系
OpenSSL 1.0.2s から 1.0.2x までの全てのバージョン
なお、OpenSSL 1.1.0 はサポートが終了しているため、本脆弱性の評価を実施していないとのことです。
想定される影響
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
・不正なフィールドを持つ X.509 証明書の検証処理を行うことで、サービス運用妨害 (DoS) 状態にされる – CVE-2021-23841
・EVP_CipherUpdate、EVP_EncryptUpdate、EVP_DecryptUpdate 関数の呼び出し時にプラットフォーム上の整数の最大値に近い値を入力されることで、アプリケーションが不正な動作をしたり、クラッシュさせられたりする – CVE-2021-23840
・RSA 署名に付与されるパディングの処理に起因するバージョンロールバック攻撃により攻撃者によって SSLv2 接続を強制される – CVE-2021-23839
対策方法
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性への対策版として次のバージョンをリリースしています。
OpenSSL 1.1.1 系
OpenSSL 1.1.1j
OpenSSL 1.0.2 系 (OpenSSL 1.0.2 プレミアムサポート契約ユーザのみ)
OpenSSL 1.0.2y
アップグレードする
OpenSSL 1.1.0 および OpenSSL 1.0.2 はサポートが終了しているため、アップデートは配信されていません。
そのため、開発者は OpenSSL 1.0.2 プレミアムサポート契約ユーザを除き、OpenSSL 1.1.1j へのアップグレードを推奨しています。
ベンダ情報
- OpenSSL Project OpenSSL Security Advisory [16 February 2021]
Vulnerabilities
備考
最終更新日 2021.02.24
