NVD Vulnerability Detail

CVE-2024-0727

Summary	Issue summary: Processing a maliciously formatted PKCS12 file may lead OpenSSL to crash leading to a potential Denial of Service attack Impact summary: Applications loading files in the PKCS12 format from untrusted sources might terminate abruptly. A file in PKCS12 format can contain certificates and keys and may come from an untrusted source. The PKCS12 specification allows certain fields to be NULL, but OpenSSL does not correctly check for this case. This can lead to a NULL pointer dereference that results in OpenSSL crashing. If an application processes PKCS12 files from an untrusted source using the OpenSSL APIs then that application will be vulnerable to this issue. OpenSSL APIs that are vulnerable to this are: PKCS12_parse(), PKCS12_unpack_p7data(), PKCS12_unpack_p7encdata(), PKCS12_unpack_authsafes() and PKCS12_newpass(). We have also fixed a similar issue in SMIME_write_PKCS7(). However since this function is related to writing data we do not consider it security significant. The FIPS modules in 3.2, 3.1 and 3.0 are not affected by this issue.
Publication Date	Jan. 26, 2024, 6:15 p.m.
Registration Date	Jan. 27, 2024, 10 a.m.
Last Update	Nov. 21, 2024, 5:47 p.m.

CVSS3.1 : MEDIUM
スコア	5.5
Vector	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
攻撃元区分(AV)	ローカル
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	不要
利用者の関与(UI)	要
影響の想定範囲(S)	変更なし
機密性への影響(C)	なし
完全性への影響(I)	なし
可用性への影響(A)	高

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:openssl:openssl::::::::	1.0.2			1.0.2zj
cpe:2.3:a:openssl:openssl::::::::	1.1.1			1.1.1x
cpe:2.3:a:openssl:openssl::::::::	3.0.0			3.0.13
cpe:2.3:a:openssl:openssl::::::::	3.1.0			3.1.5
cpe:2.3:a:openssl:openssl:3.2.0:-::::::

Related information, measures and tools

No	URL	タグ
1	http://www.openwall.com/lists/oss-security/2024/03/11/1
2	https://github.com/openssl/openssl/commit/09df4395b5071217b76dc7d3d2e630eb8c5a79c2	Patch
3	https://github.com/openssl/openssl/commit/09df4395b5071217b76dc7d3d2e630eb8c5a79c2	Patch
4	https://github.com/openssl/openssl/commit/775acfdbd0c6af9ac855f34969cdab0c0c90844a	Patch
5	https://github.com/openssl/openssl/commit/775acfdbd0c6af9ac855f34969cdab0c0c90844a	Patch
6	https://github.com/openssl/openssl/commit/d135eeab8a5dbf72b3da5240bab9ddb7678dbd2c	Patch
7	https://github.com/openssl/openssl/commit/d135eeab8a5dbf72b3da5240bab9ddb7678dbd2c	Patch
8	https://github.openssl.org/openssl/extended-releases/commit/03b3941d60c4bce58fab69a0c22377ab439bc0e8	Patch
9	https://github.openssl.org/openssl/extended-releases/commit/03b3941d60c4bce58fab69a0c22377ab439bc0e8	Patch
10	https://github.openssl.org/openssl/extended-releases/commit/aebaa5883e31122b404e450732dc833dc9dee539	Patch
11	https://github.openssl.org/openssl/extended-releases/commit/aebaa5883e31122b404e450732dc833dc9dee539	Patch
12	https://security.netapp.com/advisory/ntap-20240208-0006/
13	https://www.openssl.org/news/secadv/20240125.txt	Vendor Advisory
14	https://www.openssl.org/news/secadv/20240125.txt	Vendor Advisory

Common Vulnerabilities List

JVN Vulnerability Information

OpenSSL における NULL ポインタ参照の脆弱性 (Security Advisory [25th January 2024])

Title	OpenSSL における NULL ポインタ参照の脆弱性 (Security Advisory [25th January 2024])
Summary	OpenSSL Project より、<a href="https://www.openssl.org/news/secadv/20240125.txt"target="blank">Security Advisory [25th January 2024]</a> ("PKCS12 Decoding crashes (CVE-2024-0727)") が公開されました。深刻度 - 低 (Severity: Low) OpenSSL には、PKCS#12 形式のファイルを処理する際、特定のフィールドが NULL である場合に NULL ポインタ参照が発生する脆弱性 (CVE-2024-0727) が存在します。本脆弱性の影響を受ける API は、以下の通りです。　* PKCS12_parse() 　* PKCS12_unpack_p7data() 　* PKCS12_unpack_p7encdata() 　* PKCS12_unpack_authsafes() 　* PKCS12_newpass() なお、OpenSSL 3.2、3.1 および 3.0 内の FIPS モジュールは本脆弱性の影響を受けません。
Possible impacts	NULL ポインタ参照が発生することにより、アプリケーションがサービス運用妨害 (DoS) 状態となる可能性があります。
Solution	[アップデートする] 開発者による本脆弱性公開時点では、深刻度が低であるため、修正予定バージョンのみが通知されていましたが、現地時間 2024年1月30日に本脆弱性を修正した以下のバージョンがリリースされました。　* OpenSSL 3.2.1 　* OpenSSL 3.1.5 　* OpenSSL 3.0.13 　プレミアムサポートカスタマ向けには以下のバージョンで修正が提供されるとのことです。　* OpenSSL 1.1.1x（1.1.1 プレミアムサポートカスタマ向け）　* OpenSSL 1.0.2zj（1.0.2 プレミアムサポートカスタマ向け）
Publication Date	Jan. 26, 2024, midnight
Registration Date	Jan. 29, 2024, 12:41 p.m.
Last Update	April 14, 2025, 3:09 p.m.

Affected System

OpenSSL Project

OpenSSL 1.0.2

OpenSSL 1.1.1

OpenSSL 3.0

OpenSSL 3.1

OpenSSL 3.2

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2024-0727	https://www.cve.org/CVERecord?id=CVE-2024-0727
National Vulnerability Database (NVD)
2	CVE-2024-0727	https://nvd.nist.gov/vuln/detail/CVE-2024-0727

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-noinfo	https://www.ipa.go.jp/security/vuln/scap/cwe.html

ベンダー情報

No	Name	URL
Hitachi Software Vulnerability Information
1	hitachi-sec-2024-145	https://www.hitachi.com/products/it/software/security/info/vuls/hitachi-sec-2024-145/index.html
OpenSSL Project
2	OpenSSL 3.0 Series Release Notes	https://www.openssl.org/news/openssl-3.0-notes.html
3	OpenSSL 3.1 Series Release Notes	https://www.openssl.org/news/openssl-3.1-notes.html
4	OpenSSL 3.2 Series Release Notes	https://www.openssl.org/news/openssl-3.2-notes.html
5	OpenSSL Security Advisory [25th January 2024]	https://www.openssl.org/news/secadv/20240125.txt
サーバ・クライアント製品セキュリティ情報
6	hitachi-sec-2024-210	https://www.hitachi.co.jp/products/it/server/security/info/vulnerable/hitachi_sec_2024_210.html
ソフトウェア製品セキュリティ情報
7	hitachi-sec-2024-145	https://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/hitachi-sec-2024-145/index.html
三菱電機株式会社
8	MELSEC iQ-F OPC UAユニットにおけるOpenSSLに起因するサービス拒否(DoS)の脆弱性	https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2024-006.pdf
9	三菱電機株式会社の告知ページ	https://www.mitsubishielectric.co.jp/psirt/vulnerability/index.html

その他

No	Name	URL
ICS-CERT ADVISORY
1	ICSA-24-102-01	https://www.cisa.gov/news-events/ics-advisories/icsa-24-102-01
2	ICSA-24-319-04	https://www.cisa.gov/news-events/ics-advisories/icsa-24-319-04
3	ICSA-24-319-08	https://www.cisa.gov/news-events/ics-advisories/icsa-24-319-08
4	ICSA-25-044-09	https://www.cisa.gov/news-events/ics-advisories/icsa-25-044-09
5	ICSA-25-100-02	https://www.cisa.gov/news-events/ics-advisories/icsa-25-100-02
JVN
6	JVNVU#90506697	https://jvn.jp/vu/JVNVU90506697/
7	JVNVU#93108954	https://jvn.jp/vu/JVNVU93108954/index.html
8	JVNVU#95962757	https://jvn.jp/vu/JVNVU95962757/
9	JVNVU#96191615	https://jvn.jp/vu/JVNVU96191615/index.html
10	JVNVU#99836374	https://jvn.jp/vu/JVNVU99836374/index.html

Change Log

No	Changed Details	Date of change
3	[2024年03月06日] CVSS による深刻度：内容を更新 CWE による脆弱性タイプ一覧：内容を更新参考情報：National Vulnerability Database (NVD) (CVE-2024-0727) を追加	March 6, 2024, 2:38 p.m.
4	[2024年04月15日] 参考情報：JVN (JVNVU#99836374) を追加参考情報：ICS-CERT ADVISORY (ICSA-24-102-01) を追加	April 15, 2024, 1:23 p.m.
5	[2024年08月06日] ベンダ情報：日立(hitachi-sec-2024-210)を追加	Oct. 2, 2024, 5:42 p.m.
7	[2024年09月17日] ベンダ情報：日立 (hitachi-sec-2024-145) を追加	Sept. 17, 2024, 12:16 p.m.
8	[2024年10月02日] ベンダ情報：三菱電機(三菱電機株式会社の告知ページ)を追加　　　　　　三菱電機(MELSEC iQ-F OPC UAユニットにおけるOpenSSLに起因するサービス拒否(DoS)の脆弱性)を追加	Oct. 2, 2024, 1:37 p.m.
9	[2024年11月19日] 参考情報：JVN (JVNVU#96191615) を追加参考情報：ICS-CERT ADVISORY (ICSA-24-319-04 ) を追加参考情報：ICS-CERT ADVISORY (ICSA-24-319-08) を追加	Nov. 19, 2024, 11:07 a.m.
10	[2025年02月17日] 参考情報：JVN (JVNVU#95962757) を追加参考情報：ICS-CERT ADVISORY (ICSA-25-044-09) を追加	Feb. 17, 2025, 4:40 p.m.
1	[2024年01月29日] 掲載	Jan. 29, 2024, 12:01 p.m.
2	[2024年02月02日] 対策：内容を更新ベンダ情報：OpenSSL Project (OpenSSL 3.2 Series Release Notes) を追加　　　　　　OpenSSL Project (OpenSSL 3.1 Series Release Notes) を追加　　　　　　OpenSSL Project (OpenSSL 3.0 Series Release Notes) を追加	Feb. 2, 2024, 12:44 p.m.
11	[2025年04月14日] 参考情報：JVN (JJVNVU#90506697) を追加参考情報：ICS-CERT ADVISORY (ICSA-25-100-02) を追加	April 14, 2025, 2:06 p.m.