OpenSSLの脆弱性(Moderate: CVE-2024-6119)

09/03/2024 (JST) に予告通りOpenSSLの脆弱性(Moderate: CVE-2024-6119)が出ています。ここではこちらの脆弱性の概要を簡単にまとめてみます。

[過去関連リンク(最新5件)]

• OpenSSLの脆弱性(Low: CVE-2024-5535)
• OpenSSLの新バージョン(3.2.2, 3.3.1, 3.0.14, 3.1.6)リリース。Lowの修正あり
• OpenSSLの脆弱性情報(Low: CVE-2024-4741)
• OpenSSLの脆弱性情報(Low: CVE-2024-4603)

一次情報源/CVSS/プライオリティ

• 一次情報源
  • OpenSSL Security Advisory [3rd September 2024]
• 影響するバージョン
  • OpenSSL 3.3, 3.2, 3.1, 3.0
• Priority
  • Vendor: Moderate
• CVSS Score / CVSS Vector
  • 不明

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-6119
• X.509名前チェックでのDoSの脆弱性
• 重要度 – Moderate
• 対象 – OpenSSL 3.3, 3.2, 3.1, 3.0
• （例えばTLSクライアントがサーバ証明書をチェックするなどの）証明書チェックを実行したアプリケーションが、期待されている名前をX.509証明書の”otherName”代替名と比較する際に、不正なメモリアドレスを読み込むことでアプリケーションが異常終了する問題が見つかりました。 ベーシック認証チェーンの確認（署名、日付など・・）は問題を受けず、DoSが発生するのはアプリケーションがDNS名やEmailアドレス、IPアドレスを期待しているときのみに発生することに注意が必要です。 TLSサーバがクライアント証明書を求めることは稀で、要求する場合でも通常は”参照識別子”に対して名前チェックを実行しないため、TLSサーバーは通常影響を受けません。よって問題の重大度はModerateになっています。3.3, 3.2, 3.1, 3.0のFIPSモジュールは影響を受けません。1.1.1, 1.0.2も影響を受けません。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

• Debian
  • https://security-tracker.debian.org/tracker/CVE-2024-6119
• Red Hat Enterprise Linux/CentOS/Rocky Linux/Alma Linux
  • https://access.redhat.com/security/cve/CVE-2024-6119
• Ubuntu
  • https://www.suse.com/security/cve/CVE-2024-6119.html
• SUSE/openSUSE
  • https://ubuntu.com/security/CVE-2024-6119

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。

[参考]

• https://www.openssl.org/news/vulnerabilities.html
• OpenSSL Security Advisory [3rd September 2024]