-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2021-0015 JPCERT/CC 2021-03-26(新規) 2021-03-29(更新) <<< JPCERT/CC Alert 2021-03-26 >>> OpenSSLの脆弱性(CVE-2021-3450、CVE-2021-3449)に関する注意喚起 https://www.jpcert.or.jp/at/2021/at210015.html I. 概要 2021年3月25日(現地時間)、OpenSSL ProjectからOpenSSLの脆弱性 (CVE-2021-3450、CVE-2021-3449)に関する情報が公開されました。 OpenSSLには、X.509証明書の検証不備の脆弱性や細工した再ネゴシエーション のメッセージを処理する際にNULLポインタ参照が発生する脆弱性があります。 脆弱性が悪用された場合、不正なCA証明書によって検証が回避されたり、OpenSSL が実行されているサーバーがサービス運用妨害(DoS)を受けたりする可能性 があります。 脆弱性の詳細については、OpenSSL Projectの情報を確認してください。 OpenSSL Project OpenSSL Security Advisory [25 March 2021] https://www.openssl.org/news/secadv/20210325.txt 対象となるバージョンを使用している場合には、「III. 対策」を参考に、早 期の対応を行うことを強く推奨します。 ** 更新: 2021年3月29日追記 ******************************************** 「I. 概要」について不備がありましたので、下記のとおりに修正しました。 (更新前) 2021年3月25日(現地時間)、OpenSSL ProjectからOpenSSLの脆弱性 (CVE-2021-3450、CVE-2021-3449)に関する情報が公開されました。 OpenSSLには、X.509証明書の検証不備の脆弱性やセッション確立時に細工した メッセージを処理することでNULLポインタ参照が発生する脆弱性があります。 脆弱性が悪用された場合、不正なCA証明書を認証したり、OpenSSLが実行されて いるサーバーがサービス運用妨害(DoS)を受けたりする可能性があります。 (更新後) 2021年3月25日(現地時間)、OpenSSL ProjectからOpenSSLの脆弱性 (CVE-2021-3450、CVE-2021-3449)に関する情報が公開されました。 OpenSSLには、X.509証明書の検証不備の脆弱性や細工した再ネゴシエーション のメッセージを処理する際にNULLポインタ参照が発生する脆弱性があります。 脆弱性が悪用された場合、不正なCA証明書によって検証が回避されたり、OpenSSL が実行されているサーバーがサービス運用妨害(DoS)を受けたりする可能性 があります。 ********************************************************************** II. 対象 対象となるバージョンは次のとおりです。 CVE-2021-3450 - OpenSSL 1.1.1h、OpenSSL 1.1.1iおよびOpenSSL 1.1.1j CVE-2021-3449 - OpenSSL 1.1.1kより前の1.1.1系のバージョン なお、OpenSSL Projectによると OpenSSL 1.0.2、OpenSSL 1.1.0については、 既にサポートが終了しており、アップデートを受け取ることはできないため、 開発者は、OpenSSL1.1.1kへのアップグレードを推奨しています。 III. 対策 OpenSSL Projectから脆弱性を修正したバージョンのOpenSSLが公開されていま す。十分なテストを実施の上、修正済みのバージョンを適用することをお勧め します。 - OpenSSL 1.1.1k IV. 参考情報 OpenSSL Project OpenSSL Security Advisory [25 March 2021] https://www.openssl.org/news/secadv/20210325.txt Debian CVE-2021-3450 https://security-tracker.debian.org/tracker/CVE-2021-3450 CVE-2021-3449 https://security-tracker.debian.org/tracker/CVE-2021-3449 Red Hat Customer Portal CVE-2021-3450 https://access.redhat.com/security/cve/CVE-2021-3450 CVE-2021-3449 https://access.redhat.com/security/cve/CVE-2021-3449 ** 更新: 2021年3月29日追記 ******************************************** Japan Vulnerability Notes JVNVU#92126369 OpenSSL に複数の脆弱性 https://jvn.jp/vu/JVNVU92126369/ *********************************************************************** 今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで ご連絡ください。 ________ 改訂履歴 2021-03-26 初版 2021-03-29 「I. 概要」、「IV. 参考情報」の更新 ====================================================================== 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC) 早期警戒グループ Email:ew-info@jpcert.or.jp -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJgYWYrAAoJEKntH+qu5CT/JgQP/ibiQa7QiFSSq1SXc+lg4Hm2 nPRCNKWfOvngGWYwZHgbB8uWBGKGQCJmlmq2Yjyqi14leqL7CpTB1S8chllozRll Tc4raq7pjWW44bB3b92ZkD/3YbMbdTLRyrOlaA4Xz1CZEaZyMBWcWXs56O7DDIoW h9pMix9/gIaUUzkfsitvc/MkW70beCDJvgcjngrkHevNd42zTpvhM4Jy+Hzmv3ad 9+CRiu/VS0ZzgYgDiu5WJtkAVIOBmgSV3R55q4Ic4PLHMg73Y4Or4OjyTYT47pv7 moREKAck4vfQ0SDeOhAa00sPPXz3zla2LyVnOJr0xIPRTo+o2gKUJM5Omuo1ESLV Fk5wfBn45kCzBQ6EfKxSc1rk64DnE6xshKDfcqpAQ6OfLWkxcjMnGV/OISOOpb2A qPiRUdYrLXm45FeT8JnpkglBYuIxLZz9vh1VKAOK2QLFSJj9BPUaRxkgCFLIe2Vm L72nGoERarrFkMSXyB4BjciZMs+UsphSm/t4TGoFQUlfSI/ke9qkk1Myiw+JpHwj eMznqaBC8HOGnhQbHpLPe4lnNAPtxphZcQUqwrcv9BvS5bPhQ1g6nqW/zIiBQBax qT9PjvYogHxqPZG20Kz6zjecbgk8c1SsBtRllwc0HD6+XT5NHAYsV2mKZAOtPNmN IPsVh0gzJbOs817KGGPM =MsKj -----END PGP SIGNATURE-----