05/30/2022 (JST) にOpenSSLの脆弱性情報(Moderate: CVE-2023-2650)が公開されています。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。
[過去関連リンク(最新5件)]
- OpenSSLの脆弱性情報(Low: CVE-2023-0465, CVE-2023-0466)
- OpenSSLの脆弱性情報(Low: CVE-2023-0464)
- OpenSSLの脆弱性情報(High: CVE-2023-2650, Moderate: CVE-2022-4203, CVE-2022-4304, CVE-2022-4450, CVE-2023-0215, CVE-2023-0216, CVE-2023-0217, CVE-2023-0401)と新バージョン(3.0.8, 1.1.1t)
- OpenSSLの脆弱性情報(Low: CVE-2022-3996)
- OpenSSLの脆弱性情報(High: CVE-2022-3786, CVE-2022-3602)と新バージョン(3.0.7, 1.1.1s)
- 【重要:3.0.6/1.1.1rはregressionが見つかったため撤回】OpenSSLの脆弱性情報(Low: CVE-2022-3358)と新バージョン(3.0.6, 1.1.1r)
一次情報源
CVSS/プライオリティ
- CVE-2023-2650
- 影響するバージョン
- OpenSSL 3.1, 3.0, (OBJ_obj2txt()を直接使っている場合: 1.1.1, 1.0.2)
- Priority
- Vendor: Moderate
- CVSS Score / CVSS Vector
- N/A
- 影響するバージョン
修正方法
各ディストリビューションの情報を確認してください。
CVE概要(詳細はCVEのサイトをご確認ください)
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-2650
- ASN.1オブジェクト識別子の変換中にDoSの可能性
- 重要度 – Low
- 対象 – OpenSSL 3.1, 3.0, (OBJ_obj2txt()を直接使っている場合: 1.1.1, 1.0.2)
- 特別に細工されたASN.1オブジェクト識別子やそれを含むデータの処理が非常に遅くなります。OBJ_obj2txt()を直接使用しているアプリケーションや、OpenSSLサブシステムのOCSP, PKCS7/SMIME, CMS, CMP/CRMFやTSをメッセージサイズ制限無しで使用している場合に、これらのメッセージを処理するのが体感できるほど遅くなりDoSにつながります。OpenSSL 3.0以上では、OCSP, PKCS7/SMIME, CMS, CMP/CRMF, TS等のサブシステムが影響を受けます。また、X.509の処理も影響を受けます。OpenSSL 1.1.1, 1.0.2では、X.509証明書のようなものの表示処理が影響を受けます。これはDoSという程ではなく、従ってこれらのバージョンの場合には影響度はLowになります。
主なディストリビューションの対応方法
詳細は、各ディストリビューションの提供元にご確認ください
- Debian
- Red Hat Enterprise Linux/CentOS
- Ubuntu
- SUSE/openSUSE
対処方法
各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteやKatello、Spacewalk等を使うと管理が便利でしょう。
