「OpenSSL」にDoSの脆弱性、修正版がリリース

「OpenSSL」プロジェクトが公開したブログ記事

　「OpenSSL」の開発チームは5月30日（協定世界時、以下同）、「OpenSSL 3.1.1」「OpenSSL 3.0.9」「OpenSSL 1.1.1u」を公開した。脆弱性を修正したセキュリティアップデートとなっている。

　脆弱性の内容は、ASN.1オブジェクト識別子の変換処理で非常に長い時間を要するというもの（CVE-2023-2650）。OBJ_obj2txt()を直接使用するアプリケーションやメッセージサイズの制限がない「OpenSSL」のサブシステム（OCSP、PKCS7/SMIME、CMS、CMP/CRMF、TS）を用いたアプリケーションでメッセージ処理の遅延が発生し、サービス運用妨害（DoS）状態に陥る可能性がある。

　深刻度の評価は、「Moderate」。以下のバージョンが影響を受けるとのことで、最新版への更新が必要だ。

• OpenSSL 3.1.1より前の3.1系
• OpenSSL 3.0.9より前の3.0系
• OpenSSL 1.1.1
• OpenSSL 1.0.2

　なお、「OpenSSL 1.0.2」系の修正バージョン「OpenSSL 1.0.2zh」はプレミアムサポートカスタマーにしか提供されないので注意したい。