【CVE-2024-9143】OpenSSLに境界外書き込みの脆弱性、次回アップデートで修正予定

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

OpenSSLに境界外書き込みの脆弱性が発見
GF(2^m)楕円曲線APIに関する問題が報告
深刻度は低いものの早期対応が推奨

OpenSSL脆弱性の発見とその影響範囲

OpenSSL Projectは2024年10月16日に、OpenSSLにおける境界外書き込みの脆弱性に関するセキュリティアドバイザリを公開した。低レベルのGF(2^m)楕円曲線APIを使用する際に信頼できない値を用いると、メモリの境界外読み取りまたは書き込みが発生する問題が確認されている。^[1]

この脆弱性は楕円曲線暗号を使用するプロトコルにおいて名前付きの曲線のみがサポートされるか、問題のある入力値を表現できないバイナリ曲線のエンコーディングが指定されているため、実際の影響は限定的である。しかしながらアプリケーションのクラッシュやリモートコード実行のリスクが存在するため、早急な対応が必要とされている。

OpenSSL 3.3.3より前の3.3.0系、3.2.4より前の3.2.0系、3.1.8より前の3.1.0系、3.0.16より前の3.0.0系、1.1.1zbより前の1.1.1系、1.0.2zlより前の1.0.2系のバージョンが影響を受けることが判明している。なお、OpenSSL 3.3、3.2、3.1、3.0向けのFIPSモジュールは本脆弱性の影響を受けないことが確認されている。

影響を受けるOpenSSLバージョンまとめ

バージョン系統	影響を受けるバージョン	影響範囲
3.3.x系	3.3.0～3.3.2	境界外書き込みの可能性あり
3.2.x系	3.2.0～3.2.3	境界外書き込みの可能性あり
3.1.x系	3.1.0～3.1.7	境界外書き込みの可能性あり
3.0.x系	3.0.0～3.0.15	境界外書き込みの可能性あり

境界外書き込みについて

境界外書き込みとは、プログラムが確保されたメモリ領域の範囲を超えてデータを書き込もうとする脆弱性のことを指す。この問題は以下のような特徴を持っている。

メモリ破壊によるプログラムのクラッシュの可能性
任意のコード実行による権限昇格のリスク
データの整合性や機密性への影響

OpenSSLの今回の脆弱性では、GF(2^m)楕円曲線APIにおいて信頼できない値を使用した際に境界外書き込みが発生する可能性がある。しかし楕円曲線暗号を使用するプロトコルでは、名前付きの曲線のみがサポートされているか、問題のある入力値を表現できないバイナリ曲線のエンコーディングが指定されているため、実際の影響は限定的であると評価されている。

OpenSSLの脆弱性対応に関する考察

OpenSSLの本脆弱性は深刻度が低く評価されているものの、セキュリティ上の観点から早期の対応が望ましい状況にある。特に楕円曲線暗号の実装において、入力値の検証やメモリ管理の重要性が改めて浮き彫りになったと言えるだろう。今後は同様の脆弱性を防ぐため、より厳密な入力値の検証メカニズムの実装が期待される。

また、OpenSSLのバージョン管理における課題も浮上している。複数のバージョン系統が並行して存在することで、ユーザーの混乱やパッチ管理の複雑化を招く可能性があるため、バージョン体系の整理や統合を検討する必要があるだろう。セキュリティアップデートの提供方法についても、より効率的な仕組みの構築が求められている。

FIPSモジュールが本脆弱性の影響を受けないという事実は、厳格な認証基準に基づく実装の有効性を示している。今後はFIPSのような厳格な基準に基づくセキュリティ実装を他の機能にも展開することで、OpenSSLの信頼性向上につながることが期待できる。