JPCERT-AT-2021-0036
JPCERT/CC
2021-08-25
重要度「High」とされる脆弱性(CVE-2021-3711)は、暗号化アルゴリズム「SM2」の復号処理の実装における脆弱性で、「SM2」で暗号化されたデータを復号するAPI関数を呼び出す際にバッファオーバーフローが発生する可能性があります。脆弱性を悪用する細工されたSM2データが渡されると、OpenSSLを実行しているアプリケーションの動作が変更されたり、サービス運用妨害(DoS)攻撃が行われたりする可能性があります。
重要度「Medium」とされる脆弱性(CVE-2021-3712)は、「ASN.1」形式の文字列処理におけるバッファーオーバーランの脆弱性で、脆弱性が悪用されると、メモリ上の機微な情報が読み取られたり、サービス運用妨害(DoS)攻撃が行われる可能性があります。
脆弱性の詳細については、OpenSSL Projectの情報を確認してください。
OpenSSL Project
OpenSSL Security Advisory [24 August 2021]
https://www.openssl.org/news/secadv/20210824.txt
対象となるバージョンを使用している場合には、「III. 対策」を参考に、早期の対応を行うことを強く推奨します。
CVE-2021-3711
- OpenSSL 1.1.1kおよびそれ以前の1.1.1系のバージョン
CVE-2021-3712
- OpenSSL 1.1.1kおよびそれ以前の1.1.1系のバージョン
- OpenSSL 1.0.2yおよびそれ以前の1.0.2系のバージョン
なお、OpenSSL ProjectによるとOpenSSL 1.0.2、OpenSSL 1.1.0については、既にサポートが終了しており、アップデートを受け取ることはできないため、開発者は、OpenSSL1.1.1lへのアップグレードを推奨しています。
- OpenSSL 1.1.1l
OpenSSL Project
OpenSSL Security Advisory [24 August 2021]
https://www.openssl.org/news/secadv/20210824.txt
Ubuntu
CVE-2021-3711
https://ubuntu.com/security/CVE-2021-3711
CVE-2021-3712
https://ubuntu.com/security/CVE-2021-3712
Red Hat Customer Portal
CVE-2021-3711
https://access.redhat.com/security/cve/cve-2021-3711
CVE-2021-3712
https://access.redhat.com/security/cve/cve-2021-3712
SUSE
CVE-2021-3711
https://www.suse.com/security/cve/CVE-2021-3711.html
CVE-2021-3712
https://www.suse.com/security/cve/CVE-2021-3712.html
Debian
CVE-2021-3711
https://security-tracker.debian.org/tracker/CVE-2021-3711
CVE-2021-3712
https://security-tracker.debian.org/tracker/CVE-2021-3712
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
JPCERT/CC
2021-08-25
I. 概要
2021年8月24日(現地時間)、OpenSSL ProjectからOpenSSLの脆弱性(CVE-2021-3711、CVE-2021-3712)に関する情報が公開されました。重要度「High」とされる脆弱性(CVE-2021-3711)は、暗号化アルゴリズム「SM2」の復号処理の実装における脆弱性で、「SM2」で暗号化されたデータを復号するAPI関数を呼び出す際にバッファオーバーフローが発生する可能性があります。脆弱性を悪用する細工されたSM2データが渡されると、OpenSSLを実行しているアプリケーションの動作が変更されたり、サービス運用妨害(DoS)攻撃が行われたりする可能性があります。
重要度「Medium」とされる脆弱性(CVE-2021-3712)は、「ASN.1」形式の文字列処理におけるバッファーオーバーランの脆弱性で、脆弱性が悪用されると、メモリ上の機微な情報が読み取られたり、サービス運用妨害(DoS)攻撃が行われる可能性があります。
脆弱性の詳細については、OpenSSL Projectの情報を確認してください。
OpenSSL Project
OpenSSL Security Advisory [24 August 2021]
https://www.openssl.org/news/secadv/20210824.txt
対象となるバージョンを使用している場合には、「III. 対策」を参考に、早期の対応を行うことを強く推奨します。
II. 対象
対象となるバージョンは次のとおりです。CVE-2021-3711
- OpenSSL 1.1.1kおよびそれ以前の1.1.1系のバージョン
CVE-2021-3712
- OpenSSL 1.1.1kおよびそれ以前の1.1.1系のバージョン
- OpenSSL 1.0.2yおよびそれ以前の1.0.2系のバージョン
なお、OpenSSL ProjectによるとOpenSSL 1.0.2、OpenSSL 1.1.0については、既にサポートが終了しており、アップデートを受け取ることはできないため、開発者は、OpenSSL1.1.1lへのアップグレードを推奨しています。
III. 対策
OpenSSL Projectから脆弱性を修正したバージョンのOpenSSLが公開されています。十分なテストを実施の上、修正済みのバージョンを適用することをお勧めします。- OpenSSL 1.1.1l
IV. 参考情報
OpenSSL Project
OpenSSL Security Advisory [24 August 2021]
https://www.openssl.org/news/secadv/20210824.txt
Ubuntu
CVE-2021-3711
https://ubuntu.com/security/CVE-2021-3711
CVE-2021-3712
https://ubuntu.com/security/CVE-2021-3712
Red Hat Customer Portal
CVE-2021-3711
https://access.redhat.com/security/cve/cve-2021-3711
CVE-2021-3712
https://access.redhat.com/security/cve/cve-2021-3712
SUSE
CVE-2021-3711
https://www.suse.com/security/cve/CVE-2021-3711.html
CVE-2021-3712
https://www.suse.com/security/cve/CVE-2021-3712.html
Debian
CVE-2021-3711
https://security-tracker.debian.org/tracker/CVE-2021-3711
CVE-2021-3712
https://security-tracker.debian.org/tracker/CVE-2021-3712
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp