公開日:2021/03/26 最終更新日:2021/03/26

JVNVU#92126369
OpenSSL に複数の脆弱性

概要

OpenSSL には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2021-3449

  • OpenSSL 1.1.1 系の全てのバージョン
CVE-2021-3450
  • OpenSSL 1.1.1h から 1.1.1j までのバージョン
なお、OpenSSL 1.1.0 はサポートが終了しているため、本脆弱性の評価を実施していないとのことです。

詳細情報

OpenSSL Project より、OpenSSL Security Advisory [25 March 2021] が公開されました。
OpenSSLには、次の脆弱性が存在します。
深刻度 - 高 (Severity: High)

  • SSL/TLS ハンドシェイクの再ネゴシエーション処理における NULL ポインタ参照(CWE-476) - CVE-2021-3449
    • TLS v1.2 の再ネゴシエーション処理において、signature_algorithms 拡張が含まれず、代わりに signature_algorithms_cert 拡張が含まれるようなパケットが送信された場合、NULL ポインタ参照が発生する可能性がある
  • X509_V_FLAG_X509_STRICT フラグ設定時の CA 証明書検証不備 (CWE-295) - CVE-2021-3450
    • X509_V_FLAG_X509_STRICT フラグが設定され、さらに purpose に何も設定されていないか、TLS クライアントやサーバアプリケーションにおいてデフォルトの purpose が上書きされている場合、CA 証明書の検証処理が正しく行われない可能性がある

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • クライアントから特別に細工された ClientHello 再ネゴシエーションメッセージを送信されることで、クラッシュさせられたり、サービス運用妨害 (DoS) 状態にされる - CVE-2021-3449
  • 不正な CA 証明書を受け入れてしまう - CVE-2021-3450

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性への対策版として次のバージョンをリリースしています。

  • OpenSSL 1.1.1k
アップグレードする
OpenSSL 1.1.0 および OpenSSL 1.0.2 はサポートが終了しているため、アップデートは配信されていません。
そのため、開発者は OpenSSL 1.0.2 プレミアムサポート契約ユーザを除き、OpenSSL 1.1.1k へのアップグレードを推奨しています。

ベンダ情報

ベンダ リンク
OpenSSL Project OpenSSL Security Advisory [25 March 2021]
Vulnerabilities

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2021-3449
CVE-2021-3450
JVN iPedia