OpenSSLの脆弱性情報(Low: CVE-2023-0465, CVE-2023-0466)

2023.03.29

03/28/2022 (JST) にOpenSSLの脆弱性情報(Low: CVE-2023-0465, CVE-2023-0466)が公開されています。Lowのため、修正されたバージョンは次回のバージョンアップに持ち越されます。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

[過去関連リンク(最新5件)]

一時情報源

CVSS/プライオリティ

  • CVE-2023-0465
    • 影響するバージョン
      • OpenSSL 3.1, 3.0, 1.1.1, 1.0.2
    • Priority
      • Vendor: Low
    • CVSS Score / CVSS Vector
      • N/A>
  • CVE-2023-0466
    • 影響するバージョン
      • OpenSSL 3.1, 3.0, 1.1.1, 1.0.2
    • Priority
      • Vendor: Low
    • CVSS Score / CVSS Vector
      • N/A>

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0465
    • リーフ証明書中の不正な証明書ポリシが通知なく無視される可能性
    • 重要度 – Low
    • 対象 – OpenSSL 3.0, 1.1.1, 1.0.2
    • リーフ証明書中の不正な証明書ポリシが通知されること無くOpenSSLにより無視され、その他の認証ポリシチェックがスキップされてしまうことが判明しました。悪意のあるCAが故意に不正な証明書ポリシを入れた場合、ポリシチャックが回避されてしまいます。ポリシの処理はデフォルトで無効にされますが”-policy”引数をコマンドラインに付け加えるか、”X509_VERIFY_PARAM_set1_policies()”関数を呼び出すことで有効に出来ます。重大度Lowのため、修正は次期バージョンに持ち越されます。
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0466
    • 証明書チェックが有効になっていない問題
    • 重要度 – Low
    • 対象 – OpenSSL 3.0, 1.1.1, 1.0.2
    • 証明書チェックが行われる際にX509_VERIFY_PARAM_add0_policy()関数は暗黙的に証明書ポリシのチェックが有効になるとドキュメントに書かれています。しかし、現状の関数の実装では、無効または不正なポリシーを持つ証明書の場合には有効にならず証明書検証をパスしてしまいます。ポリシチェックを突然有効にすることは現状のデプロイメントを壊してしまう可能性があるため、X509_VERIFY_PARAM_add0_policy()関数の振る舞いはそのままにしておくことに決定しました。そのかわり、OpenSSLで証明書ポリシチェックを行う際にはX509_VERIFY_PARAM_set1_policies()関数を用いるか、あるいはX509_VERIFY_PARAM_set_flags()関数を呼び出す際にX509_V_FLAG_POLICY_CHECKフラグを引数につけるようになります。証明書ポリシチェックはOpenSSLのデフォルトでは無効になっており、アプリケーションで一般的に使われているものではありません。重大度Lowのため、修正は次期バージョンに持ち越されます。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteKatello、Spacewalk等を使うと管理が便利でしょう。

[参考]

タイトルとURLをコピーしました