OpenSSLの脆弱性情報(Low: CVE-2024-4741)

05/28/2024 (JST) にOpenSSLの脆弱性情報(Low: CVE-2024-4741)が公開されています。LowではありますがOpenSSLですので、一応こちらの脆弱性の概要を簡単にまとめてみます。

[過去関連リンク(最新5件)]

• OpenSSLの脆弱性情報(Low: CVE-2024-4603)
• OpenSSLの脆弱性情報(Low: CVE-2023-5678)
• OpenSSLの脆弱性情報(Moderate: CVE-2023-5363)と修正バージョン(OpenSSL 3.1.4 / 3.0.12)
• OpenSSLの脆弱性情報(Low: CVE-2024-4741)と修正バージョン(OpenSSL 3.1.3 / 3.0.11 / 1.1.1w)
• OpenSSLの脆弱性情報(Low: CVE-2024-4741, CVE-2023-3446)と新バージョン(3.1.2, 3.0.10, 1.1.1v)リリース

一次情報源

• https://www.openssl.org/news/vulnerabilities.html
• https://www.openssl.org/news/secadv/20240528.txt

CVSS/プライオリティ

• CVE-2024-4741
  • 影響するバージョン
    • OpenSSL 3.3, 3.2, 3.1, 3.0
  • Priority
    • Vendor: Low
  • CVSS Score / CVSS Vector
    • Not Yet Provided.

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-4741
  • SSL_free_buffers()でUse After Freeに繋がる問題(CVE-2024-4741)
  • 重要度 – Low
  • 対象 – OpenSSL 3.3, 3.2, 3.1, 3.0
  • >OpenSSL API関数のSSL_free_buffers()を呼び出すことにより、幾つかのシチュエーションで、以前に開放されたメモリにアクセスしてしまう可能性があります。
  • 影響：Use-After-Freeにより、データの破損やクラッシュ、または任意のコード実行など様々な結果をもたらす可能性があります。ただしこの問題の影響を受けるのは、SSL_free_buffers()関数を直接呼び出すアプリケーションのみであり、この関数を呼び出さないアプリケーションは影響を受けません。調査の結果、この関数はアプリケーションでほとんど使用されていないことがわかっています。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

• Debian
  • https://security-tracker.debian.org/tracker/CVE-2024-4741
• Red Hat Enterprise Linux/CentOS
  • https://access.redhat.com/security/cve/CVE-2024-4741
• Ubuntu
  • https://www.suse.com/security/cve/CVE-2024-4741.html
• SUSE/openSUSE
  • https://ubuntu.com/security/CVE-2024-4741

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。

[参考]

• https://www.openssl.org/news/vulnerabilities.html
• https://www.openssl.org/news/secadv/20240528.txt