OpenSSL セキュリティアドバイザリ [2024年9月3日] X.509 名チェックにおけるサービス妨害の可能性がある(CVE-2024-6119) --- 深刻度: 中 問題の概要: 証明書名チェック(TLS クライアントによるサーバー証明書の確認など)を実行するアプリケーションは、無効なメモリアドレスへの読み取りを試みる可能性があり、その結果、アプリケーションプロセスの異常終了を招くことがあります。 影響の概要: アプリケーションの異常終了は、サービス妨害(DoS)を引き起こす可能性があります。 X.509 証明書の 拡張サブジェクト名と比較する際に、期待される名前の検証を行うアプリケーションは、無効なメモリアドレスへの読み取りを試みることがあり、その結果、アプリケーションプログラムが例外によって終了する可能性があります。 注意: 基本的な証明書チェーンの検証(署名、有効期限など)には影響しません。サービス妨害は、アプリケーションが期待される DNS 名、メールアドレス、または IP アドレスを指定した場合にのみ発生します。 TLS サーバーは通常、クライアント証明書を要求することは稀であり、要求する場合でも、一般的には「参照識別子(期待されるアイデンティティ)」に対する名前チェックを行わず、証明書チェーンの確認後に提示されたアイデンティティを抽出します。そのため、TLS サーバーは一般的に影響を受けず、本問題の深刻度は「中」とされています。 3.3、3.2、3.1、および 3.0 の FIPS モジュールはこの問題の影響を受けません。OpenSSL 1.1.1 および 1.0.2 もこの問題の影響を受けません。 OpenSSL 3.3、3.2、3.1、および 3.0 はこの問題の影響を受けます。 OpenSSL 3.3 ユーザーは OpenSSL 3.3.2 にアップグレードしてください OpenSSL 3.2 ユーザーは OpenSSL 3.2.3 にアップグレードしてください OpenSSL 3.1 ユーザーは OpenSSL 3.1.7 にアップグレードしてください OpenSSL 3.0 ユーザーは OpenSSL 3.0.15 にアップグレードしてください 本問題は 2024 年 6 月 16 日に David Benjamin(Google)によって報告されました。これは 2021 年 9 月 30 日に提起された AddressSanitizer の問題を再報告するものです。修正は Viktor Dukhovni によって開発されました。 --- 一般的なアドバイザリに関する注記 本セキュリティアドバイザリの URL: https://openssl-library.org/news/secadv/20240903.txt 注意: アドバイザリのオンラインバージョンは、時間の経過とともに詳細情報が追加されて更新される場合があります。 OpenSSL の深刻度分類の詳細については、以下を参照してください: https://openssl-library.org/policies/general/security-policy/