JPCERT コーディネーションセンター

OpenSSL の脆弱性 (CVE-2020-1967) に関する注意喚起

各位

JPCERT-AT-2020-0018
JPCERT/CC
2020-04-22

JPCERT/CC Alert 2020-04-22


OpenSSL の脆弱性 (CVE-2020-1967) に関する注意喚起

https://www.jpcert.or.jp/at/2020/at200018.html


I. 概要2020年4月21日 (米国時間)、OpenSSL Project から OpenSSL の脆弱性 (CVE-2020-1967) に関するアップデート情報が公開されました。公開された情報によると、OpenSSL には、TLS 拡張「signature_algorithms_cert」の誤った処理により NULL ポインタ参照が発生する脆弱性があり、悪用されると、OpenSSLを実行しているサーバおよびクライアントアプリケーションにおいて、サービス運用妨害 (DoS) 攻撃が行われる可能性があります。

脆弱性の詳細については、OpenSSL Project の情報を確認してください。

OpenSSL Project
OpenSSL Security Advisory [21 April 2020]
https://www.openssl.org/news/secadv/20200421.txt

対象となるバージョンを使用している場合には、「III. 対策」を参考に、早期の対応を行うことを強く推奨します。


II. 対象以下のバージョンが脆弱性の影響を受けます。

- OpenSSL 1.1.1d、1.1.1e および 1.1.1f

なお、OpenSSL Project によると OpenSSL 1.0.2、OpenSSL 1.1.0 は本脆弱性の影響を受けないとのことです。ただし、既にサポートが終了しており、アップデートを受け取ることはできないため、開発者は、OpenSSL1.1.1 へのアップグレードを推奨しています。


III. 対策OpenSSL Project から脆弱性を修正したバージョンの OpenSSL が公開されています。十分なテストを実施の上、修正済みのバージョンを適用することをお勧めします。

- OpenSSL 1.1.1g


IV. 参考情報
JVNVU#97087254
OpenSSL における NULL ポインタ参照の脆弱性
https://jvn.jp/vu/JVNVU97087254/

Debian
CVE-2020-1967
https://security-tracker.debian.org/tracker/CVE-2020-1967

Red Hat Customer Portal
CVE-2020-1967
https://access.redhat.com/security/cve/CVE-2020-1967


今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email: ew-info@jpcert.or.jp
Topへ
最新情報(RSSメーリングリストTwitter