公開日:2023/03/29 最終更新日:2023/03/29
JVNVU#99604728
OpenSSLに複数の脆弱性(Security Advisory [28th March 2023])
OpenSSLには、複数の脆弱性が存在します。
- OpenSSL 3.1
- OpenSSL 3.0
- OpenSSL 1.1.1
- OpenSSL 1.0.2
OpenSSL Projectより、OpenSSL Security Advisory [28th March 2023]が公開されました。
OpenSSLには、次の脆弱性が存在します。
深刻度 - 低(Severity: Low)
- リーフ証明書内の無効なポリシーのチェックをスキップする問題 - CVE-2023-0465
- 証明書のポリシーチェックが有効になっているアプリケーションで証明書の検証時にリーフ証明書内の無効なポリシーを無視する問題があります。ポリシー処理はデフォルトで無効になっており、コマンドラインユーティリティに「-policy」引数を渡すか、「X509_VERIFY_PARAM_set1_policies()」関数を呼び出すことにより有効にできます。
- 証明書ポリシーチェックが有効でない問題 - CVE-2023-0466
- 「X509_VERIFY_PARAM_add0_policy()」関数は、ドキュメント上では証明書のポリシーチェックが有効になると説明されていますが、その実装上の動作ではポリシーチェックは有効になっておらず、invalidまたはincorrectなポリシーを指定した証明書が検証OKとなります。互換性を考慮し、ドキュメントでの説明が修正されました。
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 証明書検証時にデフォルト以外のオプションを利用するアプリケーションにおいて、リーフ証明書のポリシーチェックを回避される - CVE-2023-0465
- invalidまたはincorrectなポリシーを指定した証明書が検証OKと判断される - CVE-2023-0466
修正を適用する
開発者によると、本脆弱性は、以下のコミットで修正されているとのことです。また、本脆弱性の深刻度を低と評価しているため、本脆弱性に対応するためのリリースは行わず通常のリリースサイクルにのっとって次期リリースに取り込まれる、とのことです。
- CVE-2023-0465
- commit facfb1ab(3.1ユーザ向け)
- commit 1dd43e07(3.0ユーザ向け)
- commit b013765a(1.1.1ユーザ向け)
- commit 10325176(1.0.2プレミアムサポートカスタマ向け)
- CVE-2023-0466
- commit fc814a30(3.1ユーザ向け)
- commit 51e8a84c(3.0ユーザ向け)
- commit 0d16b7e9(1.1.1ユーザ向け)
- commit 73398dea(1.0.2プレミアムサポートカスタマ向け)
