問題の概要：証明書圧縮を使用するTLS 1.3接続において、圧縮解除前に構成された証明書サイズの制限を確認せずに大きなバッファを割り当てることが強制される可能性があります。影響の概要：攻撃者は接続ごとに最大約22 MiBのメモリ割り当ておよび追加のCPU処理を引き起こすことができ、サービスの劣化やリソースの枯渇（サービス拒否）を招く可能性があります。影響を受ける構成では、CompressedCertificateメッセージからのピアが提供する未圧縮証明書の長さを圧縮解除前にヒープバッファを増加させるために使用します。この長さは、証明書メッセージのサイズを制限するmax_cert_list設定では制限されていません。攻撃者はこれを悪用して大きな接続ごとの割り当てを引き起こし、その後ハンドシェイク失敗を誘発できます。メモリ破損や情報漏えいは発生しません。この問題は、TLS 1.3証明書圧縮が組み込まれている（すなわちOPENSSL_NO_COMP_ALGでない）ビルドで、少なくとも1つの圧縮アルゴリズム（brotli、zlib、またはzstd）が利用可能であり、かつ圧縮拡張機能が交渉されている場合にのみ影響します。サーバーのCompressedCertificateを受け取るクライアントと、相互TLSシナリオでクライアントのCompressedCertificateを受け取るサーバーの両方が影響を受けます。クライアント証明書を要求しないサーバーはクライアント起因の攻撃に対して脆弱ではありません。ユーザーはSSL_OP_NO_RX_CERTIFICATE_COMPRESSIONを設定して圧縮証明書の受信を無効化することでこの問題を軽減可能です。OpenSSLのFIPSモジュール（バージョン3.6、3.5、3.4および3.3）は、この問題の影響を受けません。なぜならTLS実装がOpenSSL FIPSモジュールの境界外に存在するためです。OpenSSL 3.6、3.5、3.4および3.3はこの問題に対して脆弱です。OpenSSL 3.0、1.1.1、および1.0.2はこの問題の影響を受けません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。