JVNVU#96443143
OpenSSLにおけるサービス運用妨害（DoS）の脆弱性（Security Advisory [8th April 2024]）

OpenSSL Projectより、OpenSSL Security Advisory [8th April 2024]（"Unbounded memory growth with session handling in TLSv1.3 (CVE-2024-2511)"）が公開されました。

• OpenSSL 3.2
• OpenSSL 3.1
• OpenSSL 3.0
• OpenSSL 1.1.1

深刻度－低（Severity: Low）
OpenSSLにおいて、TLSv1.3セッションの処理時にメモリを多量に消費し、サービス運用妨害（DoS）状態となる問題（CVE-2024-2511）が報告されています。本脆弱性はSSL_OP_NO_TICKETオプションが使用されている場合に発生する可能性があり、early_dataが設定され、anti-replay機能が有効になっている場合は発生しません。

また、本脆弱性はTLSv1.3をサポートするTLSサーバーのみ影響を受け、TLSクライアントは影響を受けず、またOpenSSLのFIPSモジュールも影響を受けません。

大量のメモリを消費させられ、サービス運用妨害（DoS）状態となる可能性があります。

アップデートする
開発者による本脆弱性公開時点では、深刻度が低であるため、修正予定バージョンのみが通知されていましたが、現地時間2024年6月4日に本脆弱性を修正した以下のバージョンがリリースされました。

• OpenSSL 3.2.2（3.2系ユーザ向け）
• OpenSSL 3.1.6（3.1系ユーザ向け）
• OpenSSL 3.0.14（3.0系ユーザ向け）

• OpenSSL 1.1.1y（1.1.1プレミアムサポートカスタマ向け）