セキュリティ

SECURITY

公開：2024-10-18

OpenSSLに境界外書き込みの脆弱性発見、次回リリースで修正予定

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• OpenSSLに境界外書き込みの脆弱性が発見
• 影響を受けるバージョンは3.3.3未満など
• 深刻度は低、次回リリースで修正予定

OpenSSLの境界外書き込み脆弱性の概要と影響

OpenSSL Projectは2024年10月16日、OpenSSLにおける境界外書き込みの脆弱性（CVE-2024-9143）を公開した。この脆弱性は信頼できない値を用いて低レベルのGF(2^m)楕円曲線APIを使用した際に発生し、メモリの境界外読み取りまたは書き込みが発生する可能性がある。影響を受けるバージョンはOpenSSL 3.3.3より前の3.3.0系、3.2.4より前の3.2.0系、3.1.8より前の3.1.0系などだ。^[1]

本脆弱性の深刻度は低と評価されている。これは楕円曲線暗号を使用するプロトコルでは通常、名前付きの曲線のみがサポートされるか、脆弱性を悪用できるような問題のある入力値を表現できないバイナリ曲線のエンコーディングが指定されているためだ。そのため、この脆弱性が実際に悪用される可能性は低いと考えられている。

影響としては、アプリケーションのクラッシュやリモートコード実行の可能性が指摘されている。しかし、OpenSSLの開発者は本脆弱性の深刻度を低と評価しており、次回のリリースで修正を反映する予定だ。FIPSモジュールを使用しているユーザーは、この脆弱性の影響を受けないことも明らかになっている。

OpenSSL境界外書き込み脆弱性の詳細

境界外書き込みについて

境界外書き込み（Out-of-bounds Write）とは、プログラムが割り当てられたメモリ領域の範囲外にデータを書き込もうとする脆弱性のことを指しており、主な特徴として以下のような点が挙げられる。

• メモリ破壊やデータの改ざんを引き起こす可能性がある
• プログラムのクラッシュや予期せぬ動作の原因となる
• 攻撃者によって悪用されると、任意のコード実行につながる可能性がある

今回のOpenSSLの脆弱性では、低レベルのGF(2^m)楕円曲線APIを使用する際に境界外書き込みが発生する可能性がある。しかし、一般的な使用状況では悪用される可能性が低いと評価されており、開発者は次回のリリースで修正を行う予定だ。ユーザーは最新の情報に注意を払い、修正版がリリースされた際には速やかにアップデートを行うことが推奨される。

OpenSSLの境界外書き込み脆弱性に関する考察

OpenSSLの境界外書き込み脆弱性の発見は、オープンソースソフトウェアの継続的な脆弱性検出と修正プロセスの重要性を示している。特に暗号化ライブラリであるOpenSSLは多くのシステムで使用されているため、このような脆弱性の迅速な発見と対応は高く評価されるべきだ。一方で、深刻度が低いとはいえ、このような脆弱性が存在すること自体が懸念材料となる可能性がある。

今後の課題として、低レベルAPIの使用に関するより厳格なガイドラインの策定や、自動化されたテストケースの拡充が考えられる。これらの対策により、同様の脆弱性の発生を未然に防ぐことができるだろう。また、OpenSSLのような重要なライブラリにおいては、FIPSモジュールのような高セキュリティ機能の普及促進も検討すべきだ。

長期的には、暗号化ライブラリの設計段階からセキュリティを考慮したアプローチが求められる。例えば、型安全性の高いプログラミング言語の採用や、形式検証技術の活用などが考えられる。OpenSSLコミュニティには、このような先進的なアプローチを積極的に取り入れ、より安全で信頼性の高い暗号化ライブラリの開発を期待したい。

参考サイト

1. ^ JVN. 「JVNVU#90424473: OpenSSLにおける境界外書き込みの脆弱性（OpenSSL Security Advisory [16th October 2024]）」. https://jvn.jp/vu/JVNVU90424473/index.html, (参照 24-10-18).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧