「OpenSSL」にサービス拒否の脆弱性 - 次期更新で修正予定

OpenSSLの開発チームは、特定環境下において「TLSv1.3」のセッション処理にサービス拒否の脆弱性が見つかったことを明らかにした。

「SSL_OP_NO_TICKET」オプションを有効化した場合に、セッションキャッシュが初期化されず、消費メモリが増加する脆弱性「CVE-2024-2511」が明らかとなったもの。

サービス拒否の状態に陥るおそれがある。故意に悪用されるだけでなく、通常の運用で偶発的に発生する可能性もあるとしている。

「TLSv1.3」をサポートするTLSサーバのみ影響があり、重要度は「低（Low）」とした。重要度が低いため、アドバイザリをリリースした段階でアップデートは用意していない。

リポジトリにおいてパッチを公開しており、今後リリース予定となっている「同3.2.2」「同3.1.6」「同3.0.14」「同1.1.1y」にて反映される予定。

なお、「同3.2」「同3.1」「同3.0」のFIPSモジュールおよび「同1.0.2」については影響を受けない。

（Security NEXT - 2024/04/11 ） ツイート

PR

関連記事

「FortiSIEM」に深刻なRCE脆弱性 - 実用的な悪用コードも
MS、8月の月例セキュリティ更新で100件以上の脆弱性に対応
Fortinet、「FortiOS」に関する複数の脆弱性を解消
「WinRAR」に深刻な脆弱性 - ゼロデイ攻撃で判明
ビジネス交流会サイトに攻撃試行 - 攻撃遮断も一時閉鎖
配食サービス先リストが所在不明、携帯したコピーを紛失 - 東村山市
ひとり親世帯の対象者リストを第三者に誤送信 - 山形県
秘密管理ツール「OpenBao」に脆弱性 - 任意のコード実行が可能に
登録セキスペ試験、2026年度からCBT方式に移行
ホビー通販サイトが改ざん被害 - 個人情報流出の可能性