JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は5月30日、「JVNVU#96872634: OpenSSLにおける解放済みメモリー使用(user-after-free)の脆弱性(Security Advisory [28th May 2024])」において、OpenSSLに脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によって任意のコードを実行される可能性がある。
脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
脆弱性の情報(CVE)は次のとおり。
- CVE-2024-4741 - SSL_free_buffersに解放後使用(UAF: use-after-free)の脆弱性。SSL_free_buffersを直接呼び出すアプリケーションにのみ影響する
脆弱性が存在する製品
脆弱性が存在するとされる製品およびバージョンは次のとおり。
- OpenSSL 3.3
- OpenSSL 3.2
- OpenSSL 3.1
- OpenSSL 3.0
- OpenSSL 1.1.1
なお、OpenSSL 1.0.2およびFIPSモジュールはこの脆弱性の影響を受けない。
脆弱性を修正した製品
脆弱性を修正した製品およびバージョンは次のとおり。
- OpenSSL 3.3 commit e5093133c3
- OpenSSL 3.2 commit c88c3de510
- OpenSSL 3.1 commit 704f725b96
- OpenSSL 3.0 commit b3f0eb0a29
- OpenSSL 1.1.1 commit f7a045f314
OpenSSL 1.1.1の修正はプレミアムサポートの顧客に限り利用可能。また、これら修正は次のリリースに含まれる予定。
- OpenSSL 3.3.1
- OpenSSL 3.2.2
- OpenSSL 3.1.6
- OpenSSL 3.0.14
- OpenSSL 1.1.1y
OpenSSLの開発者は脆弱性の深刻度を低いと評価しており、緊急の修正パッチを提供していない。影響を受けるシステムを運用しており速やかに対策したい場合は、GitHubリポジトリーから上記の修正版ソースコードを取得し、手動でアップデートする必要がある。