OpenSSLの脆弱性(Low: CVE-2024-9143)

10/16/2024 (JST) にOpenSSLの脆弱性(Low: CVE-2024-9143)が出ています。ここではこちらの脆弱性の概要を簡単にまとめてみます。

[過去関連リンク(最新5件)]

• OpenSSLの脆弱性(Moderate: CVE-2024-6119)
• OpenSSLの脆弱性(Low: CVE-2024-5535)
• OpenSSLの新バージョン(3.2.2, 3.3.1, 3.0.14, 3.1.6)リリース。Lowの修正あり
• OpenSSLの脆弱性情報(Low: CVE-2024-4741)
• OpenSSLの脆弱性情報(Low: CVE-2024-4603)

一次情報源

OpenSSL Security Advisory [16th October 2024]

CVSS/プライオリティ

• 影響するバージョン
• Priority
  • Vendor: Low
• CVSS Score / CVSS Vector

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-9143
  • 不正なGF(2^m)パラメータによる境界外メモリアクセス(OOB)
  • Low-levelのGF(2^m)楕円曲線APIで多項式のフィールドのために信用できない明示的な値を用いた際に境界外メモリ読み込み／書き込みが発生する可能性があります。
  • 影響：これによりアプリケーションのクラッシュやリモートコード実行が起きる可能性があります。しかしながら、知られている楕円曲線暗号に関連するすべてのプロトコルでは”名前付き曲線(named curves)”のみがサポートされているか、明示的な曲線パラメーターがサポートされている場合には問題のある入力値を表現できないバイナリ(GF(2^m))曲線のX9.62エンコーディングを指定しています。これにより脆弱なアプリケーションが存在する可能性は低いと思われます。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

• Debian
  • https://security-tracker.debian.org/tracker/CVE-2024-9143
• Red Hat Enterprise Linux/CentOS
  • https://access.redhat.com/security/cve/CVE-2024-9143
• Ubuntu
  • https://www.suse.com/security/cve/CVE-2024-9143.html
• SUSE/openSUSE
  • https://ubuntu.com/security/CVE-2024-9143

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。

[参考]

• https://www.openssl.org/news/vulnerabilities.html