-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2021-0036 JPCERT/CC 2021-08-25 <<< JPCERT/CC Alert 2021-08-25 >>> OpenSSLの脆弱性(CVE-2021-3711、CVE-2021-3712)に関する注意喚起 https://www.jpcert.or.jp/at/2021/at210036.html I. 概要 2021年8月24日(現地時間)、OpenSSL ProjectからOpenSSLの脆弱性 (CVE-2021-3711、CVE-2021-3712)に関する情報が公開されました。 重要度「High」とされる脆弱性(CVE-2021-3711)は、暗号化アルゴリズム 「SM2」の復号処理の実装における脆弱性で、「SM2」で暗号化されたデータを 復号するAPI関数を呼び出す際にバッファオーバーフローが発生する可能性 があります。脆弱性を悪用する細工されたSM2データが渡されると、OpenSSLを 実行しているアプリケーションの動作が変更されたり、サービス運用妨害 (DoS)攻撃が行われたりする可能性があります。 重要度「Medium」とされる脆弱性(CVE-2021-3712)は、「ASN.1」形式の文字 列処理におけるバッファーオーバーランの脆弱性で、脆弱性が悪用されると、 メモリ上の機微な情報が読み取られたり、サービス運用妨害(DoS)攻撃が行 われる可能性があります。 脆弱性の詳細については、OpenSSL Projectの情報を確認してください。 OpenSSL Project OpenSSL Security Advisory [24 August 2021] https://www.openssl.org/news/secadv/20210824.txt 対象となるバージョンを使用している場合には、「III. 対策」を参考に、早 期の対応を行うことを強く推奨します。 II. 対象 対象となるバージョンは次のとおりです。 CVE-2021-3711 - OpenSSL 1.1.1kおよびそれ以前の1.1.1系のバージョン CVE-2021-3712 - OpenSSL 1.1.1kおよびそれ以前の1.1.1系のバージョン - OpenSSL 1.0.2yおよびそれ以前の1.0.2系のバージョン なお、OpenSSL ProjectによるとOpenSSL 1.0.2、OpenSSL 1.1.0については、 既にサポートが終了しており、アップデートを受け取ることはできないため、 開発者は、OpenSSL1.1.1lへのアップグレードを推奨しています。 III. 対策 OpenSSL Projectから脆弱性を修正したバージョンのOpenSSLが公開されていま す。十分なテストを実施の上、修正済みのバージョンを適用することをお勧め します。 - OpenSSL 1.1.1l IV. 参考情報 OpenSSL Project OpenSSL Security Advisory [24 August 2021] https://www.openssl.org/news/secadv/20210824.txt Ubuntu CVE-2021-3711 https://ubuntu.com/security/CVE-2021-3711 CVE-2021-3712 https://ubuntu.com/security/CVE-2021-3712 Red Hat Customer Portal CVE-2021-3711 https://access.redhat.com/security/cve/cve-2021-3711 CVE-2021-3712 https://access.redhat.com/security/cve/cve-2021-3712 SUSE CVE-2021-3711 https://www.suse.com/security/cve/CVE-2021-3711.html CVE-2021-3712 https://www.suse.com/security/cve/CVE-2021-3712.html Debian CVE-2021-3711 https://security-tracker.debian.org/tracker/CVE-2021-3711 CVE-2021-3712 https://security-tracker.debian.org/tracker/CVE-2021-3712 今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで ご連絡ください。 ====================================================================== 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC) 早期警戒グループ Email:ew-info@jpcert.or.jp -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJhJdgRAAoJEKntH+qu5CT/4AgP+wV1XQezB+mAmJzvPd7cLX8J eGeCZ1Gv63EN9CD2UEWoJrc7VrJGgEqTb/Yd3/dzMiW49H9aAG3xuAdKPpG8jI8V q2khGZVsU7BtNvT7CzYdnVcyuEC1QKRzQBEIeRyZtIO4CD98WLgthDzcoICy/BQo l54AsRxDZEKHFR7PXoLuZJ3uJYQNYnyUKn+b+9zQ7QzTgR4AM2ru+cxgeS9FTKjo AmWhOQlaSUWgD4j1wD/wQ0q2OTF0iSpH9Q9KGCkdhiuWErmA/Z0Oji3hygeX23J5 h+41Hd3KCqsH6rzlvkBbNzxFp8ph0QccsEh58OBMkeDPNYGacA2PZ8BRdKjlWh0h +rTFbC4lRbDqE8y6uyjF+CzFJgjXdhZBvwXfVi+sXFWwmGwDhqUfrWVeRX7G5G2c 0VQq5rwTKo4hoBTBw2+6f380c9KK5Nw6aBegnegAdpwLBxOT13RpBBCk/iHj05bi wARyTsZk6EzuQBgtKLDvgYyWp6/9QPVv6wPwsrQmtjh/LRKOV+KZ5OC+T060/7sJ PLsnZT25KGRCMcUWoDnXeY1bzaEQt9I/H3w5p+fVJdDhC2dFHuX+jAnAmSH5R0u4 ZZDsiSEW5/PnZIhjaI/odjzcbz4AIYQ50O7VyL9s0Cc4VhVOONCIviY/E0ziJKeI 3BUPAJGexiROCFCYW9Ii =ei/h -----END PGP SIGNATURE-----