OpenSSLの新バージョン(3.2.2, 3.3.1, 3.0.14, 3.1.6)リリース。Lowの修正あり

06/05/2024 (JST) にOpenSSLの新バージョン(3.2.2, 3.3.1, 3.0.14, 3.1.6)がリリースされています。これらでは以前に紹介した(CVE-2024-2511, CVE-2024-4741, CVE-2024-4603)が修正されています。LowではありますがOpenSSLですので、一応こちらの脆弱性の概要を簡単にまとめてみます。

[過去関連リンク(最新5件)]

• OpenSSLの脆弱性情報(Low: CVE-2024-4741)
• OpenSSLの脆弱性情報(Low: CVE-2024-4603)
• OpenSSLの脆弱性情報(Low: CVE-2023-5678)
• OpenSSLの脆弱性情報(Moderate: CVE-2023-5363)と修正バージョン(OpenSSL 3.1.4 / 3.0.12)
• OpenSSLの脆弱性情報(Low: CVE-2024-4741)と修正バージョン(OpenSSL 3.1.3 / 3.0.11 / 1.1.1w)

一次情報源

• https://www.openssl.org/news/vulnerabilities.html

CVSS/プライオリティ

• CVE-2024-2511
  • 影響するバージョン
    • OpenSSL 3.2, 3.1, 3.0, 1.1.1
  • Priority
    • Vendor: Low
  • CVSS Score / CVSS Vector
    • Red Hat: 3.7 Low
    • Red Hat: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L
• CVE-2024-4603
  • 影響するバージョン
    • OpenSSL 3.3, 3.2, 3.1, 3.0
  • Priority
    • Vendor: Low
  • CVSS Score / CVSS Vector
    • Red Hat: 5.3 Low
    • Red Hat: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
• CVE-2024-4741
  • 影響するバージョン
    • OpenSSL 3.3, 3.2, 3.1, 3.0
  • Priority
    • Vendor: Low
  • CVSS Score / CVSS Vector
    • Red Hat: 5.6 Low
    • Red Hat: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-2511
  • TLSv1.3でセッションを処理する際に割り当てられていないメモリが増加する問題(CVE-2024-2511)
  • 重要度 – Low
  • 対象 – OpenSSL 3.2, 3.1, 3.0, 1.1.1
  • >いくつかのデフォルト設定でないTLSサーバにより、TLSv1.3でセッションを処理する際に割り当てられていないメモリが増加する問題があります。
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-4603
  • DSAキーとパラメータのチェックに過度に時間がかかる問題(CVE-2024-4603)
  • 重要度 – Low
  • 対象 – OpenSSL 3.3, 3.2, 3.1, 3.0
  • >長いDSAキーやパラメータのチェックに過度に時間がかかる問題があります。これによりEVP_PKEY_param_check()やEVP_PKEY_public_check()を用いてDSA公開鍵やDSAパラメータをチェックしようとしているアプリケーションが遅>くなる可能性があります。信頼されていないソースからキーやパラメータを持ってきてチェックする場合にはDoSに繋がります。
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-4741
  • SSL_free_buffers()でUse After Freeに繋がる問題(CVE-2024-4741)
  • 重要度 – Low
  • 対象 – OpenSSL 3.3, 3.2, 3.1, 3.0
  • OpenSSL API関数のSSL_free_buffers()を呼び出すことにより、幾つかのシチュエーションで、以前に開放されたメモリにアクセスしてしまう可能性があります。
  • 影響：Use-After-Freeにより、データの破損やクラッシュ、または任意のコード実行など様々な結果をもたらす可能性があります。ただしこの問題の影響を受けるのは、SSL_free_buffers()関数を直接呼び出すアプリケーションのみであり、この関数を呼び出さないアプリケーションは影響を受けません。調査の結果、この関数はアプリケーションでほとんど使用されていないことがわかっています。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

• Debian
  • https://security-tracker.debian.org/tracker/CVE-2024-2511
  • https://security-tracker.debian.org/tracker/CVE-2024-4603
  • https://security-tracker.debian.org/tracker/CVE-2024-4741
• Red Hat Enterprise Linux/CentOS
  • https://access.redhat.com/security/cve/CVE-2024-2511
  • https://access.redhat.com/security/cve/CVE-2024-4603
  • https://access.redhat.com/security/cve/CVE-2024-4741
• Ubuntu
  • https://www.suse.com/security/cve/CVE-2024-2511.html
  • https://www.suse.com/security/cve/CVE-2024-4603.html
  • https://www.suse.com/security/cve/CVE-2024-4741.html
• SUSE/openSUSE
  • https://ubuntu.com/security/CVE-2024-2511
  • https://ubuntu.com/security/CVE-2024-4603
  • https://ubuntu.com/security/CVE-2024-4741

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。

[参考]

• https://www.openssl.org/news/vulnerabilities.html