JVN、OpenSSLにおけるバッファオーバーフローの脆弱性で注意喚起
- 2019/12/13 10:00
- SecurityInsight
JVN(Japan Vulnerability Notes)は12月9日、OpenSSLにバッファオーバーフローの脆弱性が存在するとして、注意喚起を行なった。これはOpenSSL ProjectからOpenSSL Security Advisory [6 December 2019] が公開されたことを受けて発表された。
影響を受けるシステムはOpenSSL 1.1.1とOpenSSL 1.0.2で、深刻度は「低」。512ビット用モジュールのべき乗計算で使用されるMontgomery squaringプロシージャーにおけるオーバーフローの問題によるものだという。
想定される影響としては、攻撃者により任意のコードを実行されたり、サービス運用妨害 (DoS)攻撃を受けたりする可能性があるが、開発者によると楕円曲線暗号アルゴリズムを用いる場合にはこの脆弱性の影響は受けないという。
対策方法としては、開発者が提供する情報をもとにパッチを適用すること。ただし開発者によると、OpenSSL 1.0.2のサポートは今年12月31日で終了し、以降のサポートはプレミアムサポートを契約したユーザーにのみ提供される。また、OpenSSL 1.1.0はサポート対象外のためアップデートを受けることができず、この件への影響も不明。そのため開発者は、OpenSSL 1.1.1へのアップグレードを推奨しているという。