JVNVU#91755094: OpenSSLにおけるサービス運用妨害(DoS)の脆弱性(Security Advisory [3rd September 2024])
JVNVU#91755094 OpenSSLにおけるサービス運用妨害(DoS)の脆弱性(Security Advisory [3rd September 2024]) OpenSSL Projectより、OpenSSL Security Advisory [3rd September 2024]("Possible denial of service in X.509 name checks (CVE-2024-6119)")が公開されました。 OpenSSL 3.3 OpenSSL 3.2 OpenSSL 3.1 OpenSSL 3.0 開発者によると、上記バージョン向けのFIPSモジュールと、OpenSSL 1.1.1および1.0.2は本脆弱性の影響を受けないとのことです。 深刻度-中(Severity:Moderate) OpenSSLを用いるアプリケーションにおいてX.509サーバ
JVNVU#90911615: OpenSSLの関数SSL_select_next_protoにおけるバッファオーバーリードの脆弱性(OpenSSL Security Advisory [27th June 2024])
JVNVU#90911615 OpenSSLの関数SSL_select_next_protoにおけるバッファオーバーリードの脆弱性(OpenSSL Security Advisory [27th June 2024]) OpenSSL Projectより、OpenSSL Security Advisory [27th June 2024]("SSL_select_next_proto buffer overread (CVE-2024-5535)")が公開されました。 OpenSSL 3.3 OpenSSL 3.2 OpenSSL 3.1 OpenSSL 3.0 OpenSSL 1.1.1 OpenSSL 1.0.2 開発者によると、OpenSSL 3.3、3.2、3.1および3.0向けのFIPSモジュールは本脆弱性の影響を受けない、とのことです。 深刻度-低(Severity:Low)
JVNVU#94584169: OpenSSLのASN.1 オブジェクト識別子変換における処理時間遅延の問題(Security Advisory [30th May 2023])
JVNVU#94584169 OpenSSLのASN.1 オブジェクト識別子変換における処理時間遅延の問題(Security Advisory [30th May 2023]) OpenSSL Projectより、OpenSSL Security Advisory [30th May 2023](Possible DoS translating ASN.1 object identifiers (CVE-2023-2650))が公開されました。 OpenSSL 3.0.9より前の3.0系 OpenSSL 3.1.1より前の3.1系 OpenSSL 1.1.1 OpenSSL 1.0.2 なお開発者によると、OpenSSL 1.1.1、 OpenSSL 1.0.2では、OBJ_obj2txt()を直接呼び出した場合に、この問題の影響を受ける可能性があるとのことです。 OpenSSL Proj
JVNVU#96872634: OpenSSLにおける解放済みメモリ使用(use-after-free)の脆弱性(Security Advisory [28th May 2024])
JVNVU#96872634 OpenSSLにおける解放済みメモリ使用(use-after-free)の脆弱性(Security Advisory [28th May 2024]) OpenSSL Projectより、OpenSSL Security Advisory [28th May 2024]("Use After Free with SSL_free_buffers (CVE-2024-4741)")が公開されました。 OpenSSL 3.3 OpenSSL 3.2 OpenSSL 3.1 OpenSSL 3.0 OpenSSL 1.1.1 開発者によると、上記バージョン向けのFIPSモジュールおよびOpenSSL 1.0.2は本脆弱性の影響を受けない、とのことです。 深刻度-低(Severity:Low) OpenSSLのSSL_free_buffers関数には、解放済みメモリ使
JVNVU#91213144: OpenSSLに複数の脆弱性
CVE-2023-0286、CVE-2022-4304、CVE-2023-0215 OpenSSL 3.0、1.1.1、1.0.2 CVE-2022-4203、CVE-2023-0216、CVE-2023-0217、CVE-2023-0401 OpenSSL 3.0.0から3.0.7 CVE-2022-4450 OpenSSL 3.0、1.1.1 OpenSSL Projectより、OpenSSL Security Advisory [7th February 2023]が公開されました。 OpenSSLには、次の脆弱性が存在します。 深刻度 - 高(Severity: High) X.509 GeneralNameにおけるX.400アドレスの型の取り違え - CVE-2023-0286 X.509 GeneralName内に、X.400のアドレス処理に関連する型の取り違えの脆弱性がありま
JVNVU#94875946: OpenSSLにおけるサービス運用妨害(DoS)の脆弱性(Security Advisory [16th May 2024])
深刻度-低(Severity:Low) 長すぎるDSA公開キーまたはDSAパラメータをEVP_PKEY_param_check()関数またはEVP_PKEY_public_check()関数でチェックする際に、時間を要する問題があります。 なお、OpenSSL 3.0および3.1のFIPSプロバイダーは本脆弱性の影響を受け、OpenSSL SSL/TLS実装は本脆弱性の影響を受けません。 EVP_PKEY_param_check()関数またはEVP_PKEY_public_check()関数を使用し、信頼できないソースから取得したDSAキーまたはパラメータをチェックするアプリケーションは、サービス運用妨害(DoS)状態となる可能性があります。これらの関数は、OpenSSL自体からは呼び出されないため、これらの関数を直接呼び出すアプリケーションのみが影響を受けます。「-check」オプション
JVNVU#96443143: OpenSSLにおけるサービス運用妨害(DoS)の脆弱性(Security Advisory [8th April 2024])
JVNVU#96443143 OpenSSLにおけるサービス運用妨害(DoS)の脆弱性(Security Advisory [8th April 2024]) OpenSSL Projectより、OpenSSL Security Advisory [8th April 2024]("Unbounded memory growth with session handling in TLSv1.3 (CVE-2024-2511)")が公開されました。 深刻度-低(Severity: Low) OpenSSLにおいて、TLSv1.3セッションの処理時にメモリを多量に消費し、サービス運用妨害(DoS)状態となる問題(CVE-2024-2511)が報告されています。本脆弱性はSSL_OP_NO_TICKETオプションが使用されている場合に発生する可能性があり、early_dataが設定され、anti
【セキュリティ ニュース】「OpenSSL」に重要度「低」の脆弱性 - Windowsの64ビット環境に影響(1ページ目 / 全1ページ):Security NEXT
「OpenSSL」の開発チームは、Windows環境における脆弱性についてアドバイザリをリリースした。影響は小さいとして、今後リリースするアップデートで修正する予定。 Windowsの64ビット環境で使用する「OpenSSL」において、メッセージ認証符号「POLY1305」の実装に脆弱性「CVE-2023-4807」が明らかとなったもの。「同3.1.2」「同3.0.10」「同1.1.1」および以前のバージョンに影響があり、アプリケーション内部においてデータ破壊が生じる可能性がある。「同1.0.2」については影響を受けない。 「OpenSSL」を使用するサーバアプリケーションにおいて同脆弱性の影響を受けるおそれがあるものの、アドバイザリをリリースした9月8日の時点で影響を受ける具体的なアプリケーションは確認されておらず、重要度は4段階中もっとも低い「低(Low)」とレーティングされている。
JVNVU#95617114: OpenSSLのDH_check()関数におけるDHキーとパラメータのチェックに過剰な時間がかかる問題(OpenSSL Security Advisory [19th July 2023])
JVNVU#95617114 OpenSSLのDH_check()関数におけるDHキーとパラメータのチェックに過剰な時間がかかる問題(OpenSSL Security Advisory [19th July 2023]) OpenSSL Projectより、OpenSSL Security Advisory [19th July 2023](Excessive time spent checking DH keys and parameters (CVE-2023-3446))が公開されました。 OpenSSL Projectより、OpenSSL Security Advisory [19th July 2023]が公開されました。 深刻度 - 低(Severity: Low) OpenSSLのDH_check()関数は、DHパラメータに対してさまざまなチェックを実行します。これらのチェッ
JVNVU#98291788: OpenSSLのDH_check()関数におけるDHキーとパラメータのチェックに過剰な時間がかかる問題(Security Advisory [31st July 2023])
JVNVU#98291788 OpenSSLのDH_check()関数におけるDHキーとパラメータのチェックに過剰な時間がかかる問題(Security Advisory [31st July 2023]) OpenSSL Projectより、OpenSSL Security Advisory [31st July 2023](Excessive time spent checking DH q parameter value (CVE-2023-3817))が公開されました。 OpenSSL Projectより、OpenSSL Security Advisory [31st July 2023]が公開されました。 深刻度 - 低(Severity: Low) OpenSSLのDH_check()関数は、DHパラメータに対してさまざまなチェックを実行します。これらのチェックの一部では、qパラ
【セキュリティ ニュース】「OpenSSL」に脆弱性、影響「低」 - 他脆弱性とあわせて今後修正(1ページ目 / 全1ページ):Security NEXT
「OpenSSL」の開発チームは、あらたな脆弱性「CVE-2023-3446」が判明したことを明らかにした。アップデートはすぐに用意せず、今後の更新で修正する見込み。 同脆弱性は、関数「DH_check」において大きなパラメータが設定された場合に処理速度が大きく低下するおそれがあるもので、現地時間7月19日にアドバイザリをリリースした。「DH_check_ex」「EVP_PKEY_param_check」といった関数も「DH_check」を呼び出すため影響を受けるおそれがある。 開発チームは、同脆弱性の重要度を「低(Low)」とレーティング。リポジトリにおいて修正を行った。 「OpenSSL 3.1」「同3.0」「同1.1.1」「同1.0.2」が影響を受けるが、今回のアドバイザリをリリースしたタイミングで同脆弱性の修正を目的するためアップデートは用意せず、今後のアップデートで修正する予定。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【セキュリティ ニュース】「OpenSSL」にセキュリティアップデート - 脆弱性2件を修正(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】「OpenSSL」のAPI関数に脆弱性 - 今後のアップデートで修正予定(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】「OpenSSL」にセキュリティアップデート - 3件の脆弱性を解消(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】「OpenSSL」にUAF脆弱性、影響は限定的 - 今後のリリースで修正を反映(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】外部アプリより利用する「OpenSSL」の一部関数にDoS脆弱性(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】「OpenSSL」にサービス拒否の脆弱性 - 次期更新で修正予定(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】「OpenSSL」にアップデート - 累積した脆弱性4件を解消(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】「OpenSSL」のRSA公開鍵チェックに脆弱性 - SSL/TLS実装に影響なし(1ページ目 / 全1ページ):Security NEXT
OpenSSLのAES-SIV実装に関連データエントリが正しく認証されない問題 | ScanNetSecurity
