NVD Vulnerability Detail
Search Exploit, PoC
CVE-2023-0464
Summary

A security vulnerability has been identified in all supported versions

of OpenSSL related to the verification of X.509 certificate chains
that include policy constraints. Attackers may be able to exploit this
vulnerability by creating a malicious certificate chain that triggers
exponential use of computational resources, leading to a denial-of-service
(DoS) attack on affected systems.

Policy processing is disabled by default but can be enabled by passing
the `-policy' argument to the command line utilities or by calling the
`X509_VERIFY_PARAM_set1_policies()' function.

Publication Date March 23, 2023, 2:15 a.m.
Registration Date March 23, 2023, 10 a.m.
Last Update Nov. 21, 2024, 4:37 p.m.
CVSS3.1 : HIGH
スコア 7.5
Vector CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃に必要な特権レベル(PR) 不要
利用者の関与(UI) 不要
影響の想定範囲(S) 変更なし
機密性への影響(C) なし
完全性への影響(I) なし
可用性への影響(A)
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:openssl:openssl:*:*:*:*:*:*:*:* 3.1.0 3.1.1
cpe:2.3:a:openssl:openssl:*:*:*:*:*:*:*:* 3.0.0 3.0.9
cpe:2.3:a:openssl:openssl:*:*:*:*:*:*:*:* 1.1.1 1.1.1u
cpe:2.3:a:openssl:openssl:*:*:*:*:*:*:*:* 1.0.2 1.0.2zh
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
OpenSSL の X.509 ポリシー制限の検証における過剰なリソース消費の問題
Title OpenSSL の X.509 ポリシー制限の検証における過剰なリソース消費の問題
Summary

OpenSSL Project より、<a href="https://www.openssl.org/news/secadv/20230322.txt"target="blank">Excessive Resource Usage Verifying X.509 Policy Constraints (CVE-2023-0464)</a> が公開されました。 OpenSSL には、次の脆弱性が存在します。 深刻度 - 低(Severity: Low) OpenSSL のポリシー制限が含まれている X.509 証明書チェーンの検証においてリソースが過剰に消費される問題があります。 ポリシー処理はデフォルトで無効になっており、コマンドラインユーティリティに「-policy」引数を渡すか、「X509_VERIFY_PARAM_set1_policies()」関数を呼び出すことにより有効にできます。

Possible impacts 攻撃者によって細工された計算リソースを過剰に消費する証明書チェーンを処理させられることで、サービス運用妨害(DoS)攻撃を受ける可能性があります。 
Solution

[修正を適用する] 開発者によると、本脆弱性の深刻度が低であるため、2023 年 3 月 23 日現在、正式リリースは提供されておらず、以下のコミットで修正されているとのことです。  * commit 2017771e(3.1 ユーザ向け)  * commit 959c59c7(3.0 ユーザ向け)  * commit 879f7080(1.1.1 ユーザ向け)  * commit 2dcd4f1e(1.0.2 プレミアムサポートカスタマ向け)   なお、以下のリリース提供後のアップグレードが必要とのことです。  * OpenSSL 3.1.1(3.1 ユーザ向け)  * OpenSSL 3.0.9(3.0 ユーザ向け)  * OpenSSL 1.1.1u(1.1.1 ユーザ向け)  * OpenSSL 1.0.2zh(1.0.2 プレミアムサポートカスタマ向け) また、OpenSSL 1.1.1 は 2023 年 9 月 11 日にサポートが終了し、以降のセキュリティ修正は、プレミアムサポートカスタマのみに提供されるとのことです。

Publication Date March 23, 2023, midnight
Registration Date March 24, 2023, 1:43 p.m.
Last Update Aug. 26, 2025, 5:08 p.m.
Affected System
OpenSSL Project
OpenSSL 1.0.2
OpenSSL 1.1.1
OpenSSL 3.0
OpenSSL 3.1
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
3 [2023年12月13日]
  ベンダ情報:日立 (hitachi-sec-2023-217) を追加		 Dec. 13, 2023, 9:52 a.m.
4 [2023年12月21日]
  参考情報:JVN (JVNVU#98271228) を追加
  参考情報:ICS-CERT ADVISORY (ICSA-23-348-10) を追加
  参考情報:ICS-CERT ADVISORY (ICSA-23-348-16) を追加		 Dec. 21, 2023, 11:28 a.m.
5 [2024年04月15日]
  参考情報:JVN (JVNVU#99836374) を追加
  参考情報:ICS-CERT ADVISORY (ICSA-24-102-08) を追加		 April 15, 2024, 12:33 p.m.
6 [2024年06月05日]
  CVSS による深刻度:内容を更新
  CWE による脆弱性タイプ一覧:内容を更新
 June 5, 2024, 5:18 p.m.
7 [2024年06月17日]
  参考情報:JVN (JVNVU#93250330) を追加
  参考情報:ICS-CERT ADVISORY (ICSA-24-165-04) を追加
  参考情報:ICS-CERT ADVISORY (ICSA-24-165-06) を追加
  参考情報:ICS-CERT ADVISORY (ICSA-24-165-10) を追加
  参考情報:ICS-CERT ADVISORY (ICSA-24-165-11) を追加
 June 17, 2024, 1:54 p.m.
8 [2024年09月17日]
  ベンダ情報:日立 (hitachi-sec-2024-145) を追加		 Sept. 17, 2024, 12:30 p.m.
9 [2025年02月18日]
  参考情報:JVN (JVNVU#95962757) を追加
  参考情報:ICS-CERT ADVISORY (ICSA-25-044-09) を追加
 Feb. 18, 2025, 1:21 p.m.
1 [2023年03月24日]
  掲載		 March 24, 2023, 1:43 p.m.
2 [2023年06月16日]
  参考情報:JVN (JVNVU#99464755) を追加
  参考情報:ICS-CERT ADVISORY (ICSA-23-166-11) を追加
  参考情報:National Vulnerability Database (NVD) (CVE-2023-0464) を追加		 June 16, 2023, 11:38 a.m.
10 [2025年08月18日]
  参考情報:JVN (JVNVU#92169998) を追加
  参考情報:ICS-CERT ADVISORY (ICSA-25-226-21) を追加		 Aug. 18, 2025, 2:57 p.m.