公開日:2021/03/26 最終更新日:2021/03/26
JVNVU#92126369
OpenSSL に複数の脆弱性
OpenSSL には、複数の脆弱性が存在します。
CVE-2021-3449
- OpenSSL 1.1.1 系の全てのバージョン
- OpenSSL 1.1.1h から 1.1.1j までのバージョン
OpenSSL Project より、OpenSSL Security Advisory [25 March 2021] が公開されました。
OpenSSLには、次の脆弱性が存在します。
深刻度 - 高 (Severity: High)
- SSL/TLS ハンドシェイクの再ネゴシエーション処理における NULL ポインタ参照(CWE-476) - CVE-2021-3449
- TLS v1.2 の再ネゴシエーション処理において、
signature_algorithms拡張が含まれず、代わりにsignature_algorithms_cert拡張が含まれるようなパケットが送信された場合、NULL ポインタ参照が発生する可能性がある
- TLS v1.2 の再ネゴシエーション処理において、
X509_V_FLAG_X509_STRICTフラグ設定時の CA 証明書検証不備 (CWE-295) - CVE-2021-3450X509_V_FLAG_X509_STRICTフラグが設定され、さらにpurposeに何も設定されていないか、TLS クライアントやサーバアプリケーションにおいてデフォルトのpurposeが上書きされている場合、CA 証明書の検証処理が正しく行われない可能性がある
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- クライアントから特別に細工された ClientHello 再ネゴシエーションメッセージを送信されることで、クラッシュさせられたり、サービス運用妨害 (DoS) 状態にされる - CVE-2021-3449
- 不正な CA 証明書を受け入れてしまう - CVE-2021-3450
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性への対策版として次のバージョンをリリースしています。
- OpenSSL 1.1.1k
OpenSSL 1.1.0 および OpenSSL 1.0.2 はサポートが終了しているため、アップデートは配信されていません。
そのため、開発者は OpenSSL 1.0.2 プレミアムサポート契約ユーザを除き、OpenSSL 1.1.1k へのアップグレードを推奨しています。
| ベンダ | リンク |
| OpenSSL Project | OpenSSL Security Advisory [25 March 2021] |
| Vulnerabilities |
| JPCERT 緊急報告 | |
| JPCERT REPORT | |
| CERT Advisory | |
| CPNI Advisory | |
| TRnotes | |
| CVE | CVE-2021-3449 |
| CVE-2021-3450 | |
| JVN iPedia |
Copyright (c) 2000-2021 JPCERT/CC and IPA. All rights reserved.