JVNVU#99612123: OpenSSLに複数の脆弱性

OpenSSLには、複数の脆弱性が存在します。

CVE-2021-3711
- OpenSSL 1.1.1kおよびそれ以前のバージョン
- OpenSSL 3.0 alpha/betaリリース（正式版リリース時までには修正予定）
CVE-2021-3712
- OpenSSL 1.1.1kおよびそれ以前のバージョン
- OpenSSL 1.0.2yおよびそれ以前のバージョン

なお、OpenSSL 1.1.0はサポートが終了しているため、本脆弱性の評価を実施していないとのことです。

OpenSSL Projectより、OpenSSL Security Advisory [24 August 2021]が公開されました。
OpenSSLには、次の脆弱性が存在します。

深刻度 - 高（Severity: High）

SM2暗号データの復号処理におけるバッファオーバーフロー（CWE-120）- CVE-2021-3711
- SM2暗号データの復号処理を行うアプリケーションは、EVP_PKEY_decrypt()関数を通常2回呼び出すが、1回目の呼び出しで計算されるバッファサイズが2回目の呼び出しで必要なサイズより小さくなるようなSM2データがアプリケーションに渡された場合、バッファオーバーフローが発生する可能性がある

深刻度 - 中（Severity: Moderate）

ASN.1文字列処理におけるバッファエラー（CWE-119）- CVE-2021-3712
- OpenSSLにおいて、ASN.1形式の文字列はASN1_STRING構造で表され、その構造ではNULL終端が必須とはされていない。しかし、OpenSSL内にはNULL終端を前提として処理を行う関数が複数存在するため、アプリケーション内で直接生成されるなどしたNULL終端を持たないASN1_STRING構造文字列を処理させられた場合、バッファエラーが発生する可能性がある

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

問題を引き起こすSM2データがアプリケーションに渡されることで、アプリケーションの動作を変えられたり、クラッシュさせられたりする - CVE-2021-3711
影響を受ける関数にNULL終端を持たないASN1_STRING構造を処理させられることにより、アプリケーションがクラッシュさせられたり、メモリ内のデータが読み取られたりする - CVE-2021-3712

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性への対策版として次のバージョンをリリースしています。

アップグレードする
OpenSSL 1.1.0およびOpenSSL 1.0.2はサポートが終了しているため、アップデートは配信されていません。
そのため、開発者はOpenSSL 1.0.2プレミアムサポート契約ユーザを除き、OpenSSL 1.1.1lへのアップグレードを推奨しています。

ベンダ	ステータス	ステータス最終更新日	ベンダの告知ページ
BizMobile株式会社	該当製品無し	2021/09/15
三菱電機株式会社	該当製品あり	2022/05/12	三菱電機株式会社の告知ページ
日本電気株式会社	該当製品あり	2023/06/30

ベンダ	リンク
OpenSSL Project	OpenSSL Security Advisory [24 August 2021]

JPCERT 緊急報告	JPCERT-AT-2021-0036 OpenSSLの脆弱性（CVE-2021-3711、CVE-2021-3712）に関する注意喚起
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

JVNVU#99612123 OpenSSLに複数の脆弱性