公開日:2019/12/09 最終更新日:2023/03/28

JVNVU#90419651
OpenSSL における整数オーバーフローの脆弱性

概要

OpenSSL には、整数オーバーフローの脆弱性が存在します。

影響を受けるシステム

  • OpenSSL 1.1.1
  • OpenSSL 1.0.2

詳細情報

OpenSSL Project より、OpenSSL Security Advisory [6 December 2019] が公開されました。

深刻度 - 低 (Severity: Low)

512 ビット用モジュールのべき乗計算で使用される Montgomery squaring プロシージャにおけるオーバーフローの問題 - CVE-2019-1551

想定される影響

秘密鍵の情報が窃取される可能性があります。
なお、開発者によると楕円曲線暗号アルゴリズムを用いる場合には本脆弱性の影響は受けないとのことです。

対策方法

アップデートする
[2020年 3月 18日 - 追記]
本脆弱性の修正を含む次のバージョンが提供されています。開発者が提供する情報をもとに、最新版へアップデートしてください。

  • OpenSSL 1.1.1e

パッチを適用する
開発者が提供する情報をもとに、パッチを適用してください。詳しくは、開発者が提供する情報を確認してください。

なお、開発者によると、OpenSSL 1.0.2 のサポートは 2019年12月31日で終了し、以降のサポートはプレミアムサポートを契約したユーザにのみ提供されるとのことです。
また OpenSSL 1.1.0 はサポート対象外のため、アップデートを受けることができず、本件への影響も不明とのことです。
そのため開発者は、OpenSSL 1.1.1 へのアップグレードを推奨しています。

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
ジェイティ エンジニアリング株式会社 該当製品無し 2020/04/10
日本電気株式会社 該当製品あり 2023/03/28
ベンダ リンク
OpenSSL Project OpenSSL Security Advisory [6 December 2019]
Vulnerabilities
Fix an overflow bug in rsaz_512_sqr · openssl/openssl@4191024 · GitHub
Fix an overflow bug in rsaz_512_sqr · openssl/openssl@f1c5eea · GitHub
Major changes between OpenSSL 1.1.1d and OpenSSL 1.1.1e [17 Mar 2020]

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2019-1551
JVN iPedia

更新履歴

2019/12/19
タイトルおよび概要を修正しました。
2019/12/20
想定される影響を修正しました。
2020/02/19
日本電気株式会社のベンダステータスが更新されました。
2020/03/18
対策方法を更新しベンダ情報にリンクを追加しました。
2020/04/10
ジェイティ エンジニアリング株式会社のベンダステータスが更新されました
2020/08/28
日本電気株式会社のベンダステータスが更新されました
2020/12/22
日本電気株式会社のベンダステータスが更新されました
2023/03/28
日本電気株式会社のベンダステータスが更新されました