AWS導入支援・クラウド運用代行 スカイアーチネットワークス

【重要】OpenSSL に複数の脆弱性

平素より、弊社スカイアーチネットワークスのサービスをご利用頂きまして、誠に有難う御座います。

OpenSSLにて脆弱性が報告されました。脆弱性情報と対応に関して下記の通り報告させて頂きます。

JVNVU#94508446
OpenSSL に複数の脆弱性

概要

OpenSSL には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2021-23841、CVE-2021-23840
Open,p>SSL 1.1.1 系
OpenSSL 1.1.1 から 1.1.1i までの全てのバージョン
OpenSSL 1.0.2 系
OpenSSL 1.0.2 から 1.0.2x までの全てのバージョン
CVE-2021-23839
OpenSSL 1.0.2 系
OpenSSL 1.0.2s から 1.0.2x までの全てのバージョン

なお、OpenSSL 1.1.0 はサポートが終了しているため、本脆弱性の評価を実施していないとのことです。

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

・不正なフィールドを持つ X.509 証明書の検証処理を行うことで、サービス運用妨害 (DoS) 状態にされる – CVE-2021-23841
・EVP_CipherUpdate、EVP_EncryptUpdate、EVP_DecryptUpdate 関数の呼び出し時にプラットフォーム上の整数の最大値に近い値を入力されることで、アプリケーションが不正な動作をしたり、クラッシュさせられたりする – CVE-2021-23840
・RSA 署名に付与されるパディングの処理に起因するバージョンロールバック攻撃により攻撃者によって SSLv2 接続を強制される – CVE-2021-23839

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性への対策版として次のバージョンをリリースしています。

OpenSSL 1.1.1 系
OpenSSL 1.1.1j
OpenSSL 1.0.2 系 (OpenSSL 1.0.2 プレミアムサポート契約ユーザのみ)
OpenSSL 1.0.2y

アップグレードする
OpenSSL 1.1.0 および OpenSSL 1.0.2 はサポートが終了しているため、アップデートは配信されていません。
そのため、開発者は OpenSSL 1.0.2 プレミアムサポート契約ユーザを除き、OpenSSL 1.1.1j へのアップグレードを推奨しています。

ベンダ情報

  • OpenSSL Project OpenSSL Security Advisory [16 February 2021]
    Vulnerabilities

備考

最終更新日 2021.02.24

お気軽にご相談ください

03-6743-1100

平日10:00 - 18:00 ※祝日は除く

スカイアーチネットワークスは、AWS アドバンストティアサービスパートナーです

  • AWS アドバンストティアサービスパートナー
  • AWS レベル1 MSSP コンピテンシー
  • AWS MSPパートナープログラム
  • AWS Well-Architected パートナープログラム
  • AWS 公共部門パートナープログラム
  • AWS ソリューションプロバイダー
  • AWS 公共部門ソリューションプロバイダー
  • AWS トレーニングパートナー
  • AWS サービスデリバリープログラム Amazon DynamoDB
  • AWS サービスデリバリープログラム Amazon CloudFront
  • APN Immersion Days
  • aws 400 CERTIFIED
  • 2023 Japan AWS Ambassadors
  • 2023 Japan Top Engineers
  • 2023 Japan All Certifications Engineers