公開日:2022/12/14 最終更新日:2022/12/14

JVNVU#96155097
OpenSSLのX.509ポリシー制限における二重ロックの問題

概要

OpenSSLのX.509証明書に不正なポリシー制限が含まれていて、ポリシー処理が有効な場合、書き込みロックが二重に行われる問題があります。

影響を受けるシステム

  • OpenSSL 3.0.0から3.0.7
OpenSSL 1.1.1および1.0.2は、本脆弱性の影響を受けないとのことです。

詳細情報

OpenSSL Projectより、OpenSSL Security Advisory [13 December 2022]が公開されました。
OpenSSLには、次の脆弱性が存在します。

深刻度 - 低(Severity: Low)
X.509証明書に不正なポリシー制限が含まれていて、ポリシー処理が有効な場合、書き込みロックが二重に行われる問題があります。ポリシー処理を有効にするためには、コマンドラインユーティリティに「-policy」引数を渡すか、「X509_VERIFY_PARAM_add0_policy()」または「X509_VERIFY_PARAM_set1_policies()」関数を呼び出すことにより有効になります。なお、OpenSSL Projectは公開サーバでポリシー処理を有効にすることは一般的な設定ではないとしています。

想定される影響

一部のオペレーティング システム (最も一般的なのは Windows) では、影響を受けるプロセスがハングし、サービス運用妨害(DoS)状態となる可能性があります。

対策方法

ワークアラウンドを実施する
開発者によると、本脆弱性の深刻度が低であるため、2022年12月14日現在、修正は提供されておらず、「commit 7725e7bfe」にて回避策を提示しているとのことです。また、OpenSSL 3.0系のユーザは、OpenSSL 3.0.8リリース後にアップデートが必要とのことです。

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia