最終更新日: 2022/12/22
情報源
Japan Vulnerability Notes JVNVU#96155097
OpenSSLのX.509ポリシー制限における二重ロックの問題
https://jvn.jp/vu/JVNVU96155097/
概要
OpenSSLのX.509証明書に不正なポリシー制限が含まれていて、ポリシー処理が有効な場合、書き込みロックが二重に行われる問題があります。結果として、一部のオペレーティングシステム(最も一般的なのは Windows)では、影響を受けるプロセスがハングし、サービス運用妨害(DoS)状態となる可能性があります。
対象となるバージョンは次のとおりです。
– OpenSSL 3.0.0から3.0.7
OpenSSL 1.1.1および1.0.2は、本脆弱性の影響を受けないとのことです。
OpenSSLによると、本脆弱性の深刻度が低であるため、修正は提供されていません。ただし、開発者向けに回避策を提示しています。詳細は、OpenSSLが提供する情報を参照してください。
関連文書(英語)
OpenSSL Project
OpenSSL Security Advisory [13 December 2022]
https://www.openssl.org/news/secadv/20221213.txt
openssl/openssl
x509 fix double locking problem
https://github.com/openssl/openssl/commit/7725e7bfe6f2ce8146b6552b44e0d226be7638e7
引用元:JPCERT/CC
「JPCERT/CC WEEKLY REPORT 2022-12-21」
https://www.jpcert.or.jp/wr/2022/wr225001.html