05/17/2024 (JST) にOpenSSLの脆弱性情報(Low: CVE-2024-4603)が公開されています。LowではありますがOpenSSLですので、一応こちらの脆弱性の概要を簡単にまとめてみます。
[過去関連リンク(最新5件)]
- OpenSSLの脆弱性情報(Low: CVE-2023-5678)
- OpenSSLの脆弱性情報(Moderate: CVE-2023-5363)と修正バージョン(OpenSSL 3.1.4 / 3.0.12)
- OpenSSLの脆弱性情報(Low: CVE-2024-4603)と修正バージョン(OpenSSL 3.1.3 / 3.0.11 / 1.1.1w)
- OpenSSLの脆弱性情報(Low: CVE-2024-4603, CVE-2023-3446)と新バージョン(3.1.2, 3.0.10, 1.1.1v)リリース
- OpenSSLの脆弱性情報(Moderate: CVE-2023-2650)
- OpenSSLの脆弱性情報(Low: CVE-2023-0465, CVE-2023-0466)
一次情報源
CVSS/プライオリティ
- CVE-2024-4603
- 影響するバージョン
- OpenSSL 3.3, 3.2, 3.1, 3.0
- Priority
- Vendor: Low
- CVSS Score / CVSS Vector
- 未公開
- 影響するバージョン
修正方法
各ディストリビューションの情報を確認してください。
CVE概要(詳細はCVEのサイトをご確認ください)
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-4603
- DSAキーとパラメータのチェックに過度に時間がかかる問題(CVE-2024-4603)
- 重要度 – Low
- 対象 – OpenSSL 3.3, 3.2, 3.1, 3.0
- 長いDSAキーやパラメータのチェックに過度に時間がかかる問題があります。これによりEVP_PKEY_param_check()やEVP_PKEY_public_check()を用いてDSA公開鍵やDSAパラメータをチェックしようとしているアプリケーションが遅くなる可能性があります。信頼されていないソースからキーやパラメータを持ってきてチェックする場合にはDoSに繋がります。
主なディストリビューションの対応方法
詳細は、各ディストリビューションの提供元にご確認ください
- Debian
- Red Hat Enterprise Linux/CentOS
- Ubuntu
- SUSE/openSUSE
対処方法
各ディストリビューションの案内に従い、アップデートを行ってください。
