11/06/2023 (JST) にOpenSSLの脆弱性情報(Low: CVE-2023-5678)が公開されています。LowではありますがOpenSSLですので、一応こちらの脆弱性の概要を簡単にまとめてみます。
[過去関連リンク(最新5件)]
- OpenSSLの脆弱性情報(Moderate: CVE-2023-5363)と修正バージョン(OpenSSL 3.1.4 / 3.0.12)
- OpenSSLの脆弱性情報(Low: CVE-2023-5678)と修正バージョン(OpenSSL 3.1.3 / 3.0.11 / 1.1.1w)
- OpenSSLの脆弱性情報(Low: CVE-2023-5678, CVE-2023-3446)と新バージョン(3.1.2, 3.0.10, 1.1.1v)リリース
- OpenSSLの脆弱性情報(Moderate: CVE-2023-2650)
- OpenSSLの脆弱性情報(Low: CVE-2023-0465, CVE-2023-0466)
- OpenSSLの脆弱性情報(Low: CVE-2023-0464)
- OpenSSLの脆弱性情報(High: CVE-2023-4807, Moderate: CVE-2022-4203, CVE-2022-4304, CVE-2022-4450, CVE-2023-0215, CVE-2023-0216, CVE-2023-0217, CVE-2023-0401)と新バージョン(3.0.8, 1.1.1t)
一次情報源
CVSS/プライオリティ
- CVE-2023-5678
- 影響するバージョン
- OpenSSL 3.1, 3.0, 1.1.1, 1.0.2
- Priority
- Vendor: Low
- CVSS Score / CVSS Vector
- Red Hat:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
- 影響するバージョン
修正方法
各ディストリビューションの情報を確認してください。
CVE概要(詳細はCVEのサイトをご確認ください)
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-5678
- 大きなQパラメータによるDHチェック/生成に過度の時間がかかる問題(CVE-2023-5678)
- 重要度 – Low
- 対象 – OpenSSL 3.1, 3.0, 1.1.1, 1.0.2
- 過度に長い X9.42 DH キーを生成したり、過度に長い X9.42 DH キーやパラメーターをチェックしたりすると、速度が非常に遅くなる可能性があります。 DH_generate_key()関数を使用してX9.42 DH キーを生成するアプリケーションは、長い遅延が発生する可能性があります。同様にDH_check_pub_key()、DH_check_pub_key_ex()、EVP_PKEY_public_check()を使用してX9.42 DH キーまたは X9.42 DH パラメータをチェックするアプリケーションは、長い遅延が発生する可能性があります。チェックされるキーまたはパラメータが信頼できないソースから取得された場合、サービス拒否が発生する可能性があります。
主なディストリビューションの対応方法
詳細は、各ディストリビューションの提供元にご確認ください
- Debian
- Red Hat Enterprise Linux/CentOS
- Ubuntu
- SUSE/openSUSE
対処方法
各ディストリビューションの案内に従い、アップデートを行ってください。
