JVNVU#94584169
OpenSSLのASN.1 オブジェクト識別子変換における処理時間遅延の問題（Security Advisory [30th May 2023]）

OpenSSL Projectより、OpenSSL Security Advisory [30th May 2023]（Possible DoS translating ASN.1 object identifiers (CVE-2023-2650)）が公開されました。

• OpenSSL 3.0.9より前の3.0系
• OpenSSL 3.1.1より前の3.1系
• OpenSSL 1.1.1
• OpenSSL 1.0.2

OpenSSL Projectより、OpenSSL Security Advisory [30th May 2023]（Possible DoS translating ASN.1 object identifiers (CVE-2023-2650)）が公開されました。

深刻度 - 中（Severity: Moderate）
OpenSSLのOBJ_obj2txt()は、ASN.1 OBJECT IDENTIFIERを数値テキスト形式に変換します。このOBJECT IDENTIFIERは一連の番号（サブ識別子）で構成されサイズ制限がないため、サブ識別子の一つが非常に大きい場合、数値テキストへの変換に非常に長い時間を要する問題があります。
OpenSSL 3.0では数値テキスト形式のOBJECT IDENTIFIERを使用して暗号化アルゴリズムを指定するサポートが導入されています。そのため、ASN.1構造のAlgorithmIdentifierを通してOBJECT IDENTIFIERを受信し、受信データの署名や検証、暗号化や復号化、ハッシュ化に使用する暗号アルゴリズムを指定するために複数のプロトコルで一般的に使用します。

OBJ_obj2txt()を直接使用するアプリケーションや、メッセージサイズの制限がないOpenSSLのサブシステム（OCSP、PKCS7/SMIME、CMS、CMP/CRMF、TS）を使用するアプリケーションの場合、メッセージ処理時に遅延が発生し、サービス運用妨害（DoS）攻撃を受ける可能性があります。

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性への対策版として次のバージョンをリリースしています。

• OpenSSL 3.0.9（3.0系ユーザ向け）
• OpenSSL 3.1.1（3.1系ユーザ向け）
• OpenSSL 1.1.1u（1.1.1ユーザ向け）
• OpenSSL 1.0.2zh（1.0.2プレミアムサポートカスタマ向け）