セキュリティ

SECURITY

公開：2024-05-18

OpenSSLの複数バージョンにDoSの脆弱性、信頼できないDSAデータのチェックに時間を要する問題

text: XEXEQ編集部

OpenSSLの脆弱性に関する記事の要約

• OpenSSLの3.3、3.2、3.1、3.0に脆弱性が存在
• 信頼できないソースからのDSAキーやパラメータチェック時にDoS状態の可能性
• gitリポジトリにて各バージョン向けの修正を提供、次回リリースでパッチ反映予定

長すぎるDSAデータチェック時にDoSの危険性

OpenSSLの複数バージョンにおいて、長すぎるDSA公開キーやDSAパラメータをチェックする際に時間を要する問題が発見された。この問題により、EVP_PKEY_param_check()関数やEVP_PKEY_public_check()関数を使用してチェックを行うアプリケーションが、サービス運用妨害（DoS）状態となる危険性がある。^[1]

ただし、OpenSSL自体からこれらの関数が呼び出されることはなく、直接関数を呼び出すアプリケーションのみが影響を受ける。pkeyおよびpkeyparamコマンドラインアプリケーションも、「-check」オプション使用時に影響を受けるとのことだ。

OpenSSL Projectは深刻度を低と評価しており、各バージョン向けの修正をgitリポジトリにて提供している。今回のパッチは次回のリリースで反映される見込みだ。影響を受けるアプリケーションを使用している場合は、修正が反映されたバージョンへのアップデートを検討する必要がある。

OpenSSLの脆弱性に関する考察

OpenSSLの脆弱性については、過去にもHeartbleedなどの深刻な問題が発生している。今回の脆弱性は深刻度が低いとはいえ、アプリケーション開発者は意識しておく必要がある。特にDSAの鍵長などパラメータの適切な設定とチェックを怠ると、DoS攻撃の危険性が高まるだろう。

一方、OpenSSLの脆弱性対応の迅速さは評価できる。脆弱性の発見から数日以内に修正が提供され、次回リリースへの反映も予定されている。オープンソースプロジェクトの強みが発揮された形だ。今後も継続的なセキュリティ監査とタイムリーな修正提供を期待したい。

参考サイト

1. ^ JVN. 「JVNVU#94875946: OpenSSLにおけるサービス運用妨害（DoS）の脆弱性（Security Advisory [16th May 2024]）」. https://jvn.jp/vu/JVNVU94875946/index.html, (参照 24-05-28).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧