各位
OpenSSLの脆弱性(CVE-2021-3450、CVE-2021-3449)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210015.html
I. 概要2021年3月25日(現地時間)、OpenSSL ProjectからOpenSSLの脆弱性(CVE-2021-3450、CVE-2021-3449)に関する情報が公開されました。OpenSSLには、X.509証明書の検証不備の脆弱性や細工した再ネゴシエーションのメッセージを処理する際にNULLポインタ参照が発生する脆弱性があります。脆弱性が悪用された場合、不正なCA証明書によって検証が回避されたり、OpenSSLが実行されているサーバーがサービス運用妨害(DoS)を受けたりする可能性があります。
脆弱性の詳細については、OpenSSL Projectの情報を確認してください。
OpenSSL Project
OpenSSL Security Advisory [25 March 2021]
https://www.openssl.org/news/secadv/20210325.txt
対象となるバージョンを使用している場合には、「III. 対策」を参考に、早期の対応を行うことを強く推奨します。
** 更新: 2021年3月29日追記 ****************
「I. 概要」について不備がありましたので、下記のとおりに修正しました。
(更新前)2021年3月25日(現地時間)、OpenSSL ProjectからOpenSSLの脆弱性(CVE-2021-3450、CVE-2021-3449)に関する情報が公開されました。OpenSSLには、X.509証明書の検証不備の脆弱性やセッション確立時に細工したメッセージを処理することでNULLポインタ参照が発生する脆弱性があります。脆弱性が悪用された場合、不正なCA証明書を認証したり、OpenSSLが実行されているサーバーがサービス運用妨害(DoS)を受けたりする可能性があります。
(更新後)2021年3月25日(現地時間)、OpenSSL ProjectからOpenSSLの脆弱性(CVE-2021-3450、CVE-2021-3449)に関する情報が公開されました。OpenSSLには、X.509証明書の検証不備の脆弱性や細工した再ネゴシエーションのメッセージを処理する際にNULLポインタ参照が発生する脆弱性があります。脆弱性が悪用された場合、不正なCA証明書によって検証が回避されたり、OpenSSLが実行されているサーバーがサービス運用妨害(DoS)を受けたりする可能性があります。
**************************************************
II. 対象対象となるバージョンは次のとおりです。
CVE-2021-3450
- OpenSSL 1.1.1h、OpenSSL 1.1.1iおよびOpenSSL 1.1.1j
CVE-2021-3449
- OpenSSL 1.1.1kより前の1.1.1系のバージョン
なお、OpenSSL Projectによると OpenSSL 1.0.2、OpenSSL 1.1.0については、既にサポートが終了しており、アップデートを受け取ることはできないため、開発者は、OpenSSL1.1.1kへのアップグレードを推奨しています。
III. 対策OpenSSL Projectから脆弱性を修正したバージョンのOpenSSLが公開されています。十分なテストを実施の上、修正済みのバージョンを適用することをお勧めします。
- OpenSSL 1.1.1k
IV. 参考情報
OpenSSL Project
OpenSSL Security Advisory [25 March 2021]
https://www.openssl.org/news/secadv/20210325.txt
Debian
CVE-2021-3450
https://security-tracker.debian.org/tracker/CVE-2021-3450
CVE-2021-3449
https://security-tracker.debian.org/tracker/CVE-2021-3449
Red Hat Customer Portal
CVE-2021-3450
https://access.redhat.com/security/cve/CVE-2021-3450
CVE-2021-3449
https://access.redhat.com/security/cve/CVE-2021-3449
** 更新: 2021年3月29日追記 ****************
Japan Vulnerability Notes JVNVU#92126369
OpenSSL に複数の脆弱性
https://jvn.jp/vu/JVNVU92126369/
**************************************************
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
________
改訂履歴
2021-03-26 初版
2021-03-29 「I. 概要」、「IV. 参考情報」の更新
==============================
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
JPCERT-AT-2021-0015
JPCERT/CC
2021-03-26(新規)
2021-03-29(更新)
JPCERT/CC Alert 2021-03-26
OpenSSLの脆弱性(CVE-2021-3450、CVE-2021-3449)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210015.html
I. 概要2021年3月25日(現地時間)、OpenSSL ProjectからOpenSSLの脆弱性(CVE-2021-3450、CVE-2021-3449)に関する情報が公開されました。OpenSSLには、X.509証明書の検証不備の脆弱性や細工した再ネゴシエーションのメッセージを処理する際にNULLポインタ参照が発生する脆弱性があります。脆弱性が悪用された場合、不正なCA証明書によって検証が回避されたり、OpenSSLが実行されているサーバーがサービス運用妨害(DoS)を受けたりする可能性があります。
脆弱性の詳細については、OpenSSL Projectの情報を確認してください。
OpenSSL Project
OpenSSL Security Advisory [25 March 2021]
https://www.openssl.org/news/secadv/20210325.txt
対象となるバージョンを使用している場合には、「III. 対策」を参考に、早期の対応を行うことを強く推奨します。
** 更新: 2021年3月29日追記 ****************
「I. 概要」について不備がありましたので、下記のとおりに修正しました。
(更新前)2021年3月25日(現地時間)、OpenSSL ProjectからOpenSSLの脆弱性(CVE-2021-3450、CVE-2021-3449)に関する情報が公開されました。OpenSSLには、X.509証明書の検証不備の脆弱性やセッション確立時に細工したメッセージを処理することでNULLポインタ参照が発生する脆弱性があります。脆弱性が悪用された場合、不正なCA証明書を認証したり、OpenSSLが実行されているサーバーがサービス運用妨害(DoS)を受けたりする可能性があります。
(更新後)2021年3月25日(現地時間)、OpenSSL ProjectからOpenSSLの脆弱性(CVE-2021-3450、CVE-2021-3449)に関する情報が公開されました。OpenSSLには、X.509証明書の検証不備の脆弱性や細工した再ネゴシエーションのメッセージを処理する際にNULLポインタ参照が発生する脆弱性があります。脆弱性が悪用された場合、不正なCA証明書によって検証が回避されたり、OpenSSLが実行されているサーバーがサービス運用妨害(DoS)を受けたりする可能性があります。
**************************************************
II. 対象対象となるバージョンは次のとおりです。
CVE-2021-3450
- OpenSSL 1.1.1h、OpenSSL 1.1.1iおよびOpenSSL 1.1.1j
CVE-2021-3449
- OpenSSL 1.1.1kより前の1.1.1系のバージョン
なお、OpenSSL Projectによると OpenSSL 1.0.2、OpenSSL 1.1.0については、既にサポートが終了しており、アップデートを受け取ることはできないため、開発者は、OpenSSL1.1.1kへのアップグレードを推奨しています。
III. 対策OpenSSL Projectから脆弱性を修正したバージョンのOpenSSLが公開されています。十分なテストを実施の上、修正済みのバージョンを適用することをお勧めします。
- OpenSSL 1.1.1k
IV. 参考情報
OpenSSL Project
OpenSSL Security Advisory [25 March 2021]
https://www.openssl.org/news/secadv/20210325.txt
Debian
CVE-2021-3450
https://security-tracker.debian.org/tracker/CVE-2021-3450
CVE-2021-3449
https://security-tracker.debian.org/tracker/CVE-2021-3449
Red Hat Customer Portal
CVE-2021-3450
https://access.redhat.com/security/cve/CVE-2021-3450
CVE-2021-3449
https://access.redhat.com/security/cve/CVE-2021-3449
** 更新: 2021年3月29日追記 ****************
Japan Vulnerability Notes JVNVU#92126369
OpenSSL に複数の脆弱性
https://jvn.jp/vu/JVNVU92126369/
**************************************************
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
________
改訂履歴
2021-03-26 初版
2021-03-29 「I. 概要」、「IV. 参考情報」の更新
==============================
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp