OpenSSLの脆弱性情報(Moderate: CVE-2023-2650)

05/30/2022 (JST) にOpenSSLの脆弱性情報(Moderate: CVE-2023-2650)が公開されています。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

[過去関連リンク(最新5件)]

一次情報源

CVSS/プライオリティ

  • CVE-2023-2650
    • 影響するバージョン
      • OpenSSL 3.1, 3.0, (OBJ_obj2txt()を直接使っている場合: 1.1.1, 1.0.2)
    • Priority
      • Vendor: Moderate
    • CVSS Score / CVSS Vector
      • N/A

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-2650
    • ASN.1オブジェクト識別子の変換中にDoSの可能性
    • 重要度 – Low
    • 対象 – OpenSSL 3.1, 3.0, (OBJ_obj2txt()を直接使っている場合: 1.1.1, 1.0.2)
    • 特別に細工されたASN.1オブジェクト識別子やそれを含むデータの処理が非常に遅くなります。OBJ_obj2txt()を直接使用しているアプリケーションや、OpenSSLサブシステムのOCSP, PKCS7/SMIME, CMS, CMP/CRMFやTSをメッセージサイズ制限無しで使用している場合に、これらのメッセージを処理するのが体感できるほど遅くなりDoSにつながります。OpenSSL 3.0以上では、OCSP, PKCS7/SMIME, CMS, CMP/CRMF, TS等のサブシステムが影響を受けます。また、X.509の処理も影響を受けます。OpenSSL 1.1.1, 1.0.2では、X.509証明書のようなものの表示処理が影響を受けます。これはDoSという程ではなく、従ってこれらのバージョンの場合には影響度はLowになります。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteKatello、Spacewalk等を使うと管理が便利でしょう。

[参考]

タイトルとURLをコピーしました