OpenSSLの関数SSL_select_next_protoに新たな脆弱性、次回リリースで修正予定

text: XEXEQ編集部

記事の要約
OpenSSLの新たな脆弱性が発覚
バッファオーバーリードとは
OpenSSLの脆弱性に関する考察
参考サイト

記事の要約

OpenSSLにバッファオーバーリードの脆弱性が発見
CVE-2024-5535として報告された脆弱性
OpenSSLの複数バージョンが影響を受ける
深刻度は低と評価されている
次回リリースで修正予定

OpenSSLの新たな脆弱性が発覚

OpenSSL Projectから2024年6月27日に公開されたセキュリティアドバイザリーにおいて、OpenSSLの関数SSL_select_next_protoにバッファオーバーリードの脆弱性が存在することが明らかになった。この脆弱性はCVE-2024-5535として報告され、OpenSSL 3.3、3.2、3.1、3.0、1.1.1、1.0.2の各バージョンに影響を与える可能性がある。ただし、OpenSSL 3.3、3.2、3.1および3.0向けのFIPSモジュールは本脆弱性の影響を受けないとされている。^[1]

SSL_select_next_proto関数は、TLS通信においてサーバ側とクライアント側が共通して対応しているプロトコルを選択する際に使用されるヘルパー関数だ。この関数内部では2つのリストとも空ではないという前提で処理が行われているため、長さゼロのプロトコルリストを渡した場合に予期しない動作となる可能性がある。このような状況下では、呼び出し側アプリケーションの予期しない動作やクラッシュが発生する可能性が指摘されている。

本脆弱性の深刻度は開発者により「低」と評価されているが、その影響は無視できるものではない。最悪の場合、メモリ上の最大255バイトのデータが窃取される可能性があるとされており、セキュリティ上のリスクとなり得る。この問題は、OpenSSLの基本的な機能に関わるものであり、多くのシステムやアプリケーションに潜在的な影響を及ぼす可能性がある点で注目に値する。

対策としては、OpenSSLの開発者がgitリポジトリにて修正を行っているが、2024年7月3日現在、本脆弱性への対応のみを目的とした修正バージョンは提供されていない。開発者は次回のリリースでこの修正を反映する予定であると発表している。そのため、影響を受ける可能性のあるシステム管理者やソフトウェア開発者は、OpenSSLの次回アップデートを注視し、リリース後速やかに適用することが推奨される。

この脆弱性の発見は、オープンソースソフトウェアの継続的なセキュリティ監査の重要性を改めて示すものだ。OpenSSLはインターネットセキュリティの根幹を支える重要なライブラリであり、その安全性の確保は多くのウェブサービスやアプリケーションの信頼性に直結する。今後も、OpenSSL Projectによる迅速な脆弱性対応と、ユーザー側の適切なアップデート管理が求められるだろう。

バッファオーバーリードとは

バッファオーバーリードは、プログラムがメモリバッファの境界を超えてデータを読み取ろうとする際に発生するセキュリティ脆弱性だ。この問題は、プログラムが割り当てられたメモリ領域の外部にあるデータにアクセスしようとする際に起こり、潜在的に重大なセキュリティリスクをもたらす可能性がある。バッファオーバーリードが発生すると、プログラムがクラッシュしたり、予期しない動作を引き起こしたりする可能性があるだけでなく、攻撃者が機密情報を読み取ることも可能になる。

OpenSSLの場合、SSL_select_next_proto関数におけるバッファオーバーリードは、TLS通信のプロトコル選択プロセスにおいて発生する可能性がある。この脆弱性が悪用されると、攻撃者がメモリ上の機密データにアクセスできる可能性があり、暗号化通信の安全性を脅かす恐れがある。そのため、この種の脆弱性は迅速に対処される必要があり、OpenSSL Projectによる次回のアップデートで修正されることが期待されている。

OpenSSLの脆弱性に関する考察

OpenSSLの新たな脆弱性CVE-2024-5535の発見は、暗号化ライブラリの継続的な監視と改善の重要性を浮き彫りにしている。この脆弱性は深刻度が低と評価されているものの、OpenSSLの広範な利用を考慮すると、潜在的な影響は無視できない。今後、同様の脆弱性を早期に発見し、迅速に対応するためのセキュリティ監査プロセスの強化が求められるだろう。

OpenSSLの開発者には、今回の脆弱性を踏まえて、ゼロ長のプロトコルリストなど、エッジケースに対するより堅牢な処理の実装が期待される。また、FIPSモジュールが影響を受けなかった点は注目に値し、今後のセキュリティ設計においてこのアプローチを広げていくことも検討すべきだ。ユーザー側においても、定期的なアップデートの重要性が再認識され、セキュリティパッチの適用をより迅速に行う体制の構築が必要となるだろう。

エンジニアの観点からは、この脆弱性はアプリケーション全体のセキュリティを考える上で重要な示唆を与えている。SSL/TLS層の脆弱性は、アプリケーションの他の部分にも影響を及ぼす可能性があるため、依存ライブラリのセキュリティ状況を常に把握し、必要に応じて迅速に対応できる体制を整えることが不可欠だ。また、OpenSSLのような重要なライブラリの脆弱性に対する理解を深めることで、より安全なシステム設計とセキュリティ対策の実装につながるはずである。

参考サイト

^ JVN. 「JVNVU#90911615: OpenSSLの関数SSL_select_next_protoにおけるバッファオーバーリードの脆弱性（OpenSSL Security Advisory [27th June 2024]）」. https://jvn.jp/vu/JVNVU90911615/index.html, (参照 24-07-05).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。