-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2020-0018
                                                             JPCERT/CC
                                                            2020-04-22

                  <<< JPCERT/CC Alert 2020-04-22 >>>

           OpenSSL の脆弱性 (CVE-2020-1967) に関する注意喚起

            https://www.jpcert.or.jp/at/2020/at200018.html


I. 概要
2020年4月21日 (米国時間)、OpenSSL Project から OpenSSL の脆弱性 (CVE-
2020-1967) に関するアップデート情報が公開されました。公開された情報に
よると、OpenSSL には、TLS 拡張「signature_algorithms_cert」の誤った処
理により NULL ポインタ参照が発生する脆弱性があり、悪用されると、OpenSSL
を実行しているサーバおよびクライアントアプリケーションにおいて、サービ
ス運用妨害 (DoS) 攻撃が行われる可能性があります。

脆弱性の詳細については、OpenSSL Project の情報を確認してください。

    OpenSSL Project
    OpenSSL Security Advisory [21 April 2020]
    https://www.openssl.org/news/secadv/20200421.txt

対象となるバージョンを使用している場合には、「III. 対策」を参考に、早期
の対応を行うことを強く推奨します。


II. 対象
以下のバージョンが脆弱性の影響を受けます。

  - OpenSSL 1.1.1d、1.1.1e および 1.1.1f

なお、OpenSSL Project によると OpenSSL 1.0.2、OpenSSL 1.1.0 は本脆弱性
の影響を受けないとのことです。ただし、既にサポートが終了しており、アップ
デートを受け取ることはできないため、開発者は、OpenSSL1.1.1 へのアップ
グレードを推奨しています。


III. 対策
OpenSSL Project から脆弱性を修正したバージョンの OpenSSL が公開されて
います。十分なテストを実施の上、修正済みのバージョンを適用することをお
勧めします。

  - OpenSSL 1.1.1g


IV. 参考情報
    JVNVU#97087254
    OpenSSL における NULL ポインタ参照の脆弱性
    https://jvn.jp/vu/JVNVU97087254/

    Debian
    CVE-2020-1967
    https://security-tracker.debian.org/tracker/CVE-2020-1967

    Red Hat Customer Portal
    CVE-2020-1967
    https://access.redhat.com/security/cve/CVE-2020-1967


今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email: ew-info@jpcert.or.jp 
-----BEGIN PGP SIGNATURE-----

iQIcBAEBCAAGBQJen8fRAAoJEKntH+qu5CT/R3MP/A/FpltFXiy2KR/wo+w59h9m
G8TnTCoezCPJt6qA56/Tx0SqoGDjiUd3MlKGRYENezitFzEd6C+ELpaJo1Qx0DOT
nTDeD/ZvFKdaUZ9HPsFr9IgjPeez1s7C2kHzX2TYI9QTmUCtBTKdCWZcp20T7vo4
+Us244+X05lUucuwjJUJWBLIAj5gUbEsByt+/37QzQ6hMSzrOEMsvYj391B2lQCl
QndZljW60zOwO0YVEAAPe5bN9d6QfFjSrvNjqCOjFZbRMGHmb+Kms980G+25qEQc
4Nw91A5BcMUwme8i1zjwWtuVSazvNrrY1v8iViIYbhk5r0qIAUqWxGjhBvufJ+07
6HfVBCiT3abc1bI0vQGUXi3Vo3ZrP5niUVJrHdnQOslJOQoasmwb3tVCpaC36+S2
9KR5vXN3AquZgTE2Mq5foBLVtMXE4dpHfkZ4+VQOhHMlntccAE/w5pJPL3uz8wsX
yYL3K3cGTvbpSJbJWG1T5Njiumm5j4zI04lsSRUJUkBwyao8H18qwDJsQRDjTNOr
haFNLNs/oXSv/qUazMEF532wNYw8cxoYNdrywV5+gG2czQ6LEcqTNPAE6gU1PPr0
Ih0gkFDzR30wvmURyoPG2u7BmNhxrv0Ufg4fxsanBO81/ehIgdiDqww18zFNMVjw
Sfj90JLSXgQkSNvMZOo4
=vzoy
-----END PGP SIGNATURE-----