NVD Vulnerability Detail

CVE-2024-2511

Summary	Issue summary: Some non-default TLS server configurations can cause unbounded memory growth when processing TLSv1.3 sessions Impact summary: An attacker may exploit certain server configurations to trigger unbounded memory growth that would lead to a Denial of Service This problem can occur in TLSv1.3 if the non-default SSL_OP_NO_TICKET option is being used (but not if early_data support is also configured and the default anti-replay protection is in use). In this case, under certain conditions, the session cache can get into an incorrect state and it will fail to flush properly as it fills. The session cache will continue to grow in an unbounded manner. A malicious client could deliberately create the scenario for this failure to force a Denial of Service. It may also happen by accident in normal operation. This issue only affects TLS servers supporting TLSv1.3. It does not affect TLS clients. The FIPS modules in 3.2, 3.1 and 3.0 are not affected by this issue. OpenSSL 1.0.2 is also not affected by this issue.
Publication Date	April 8, 2024, 11:15 p.m.
Registration Date	April 9, 2024, 10 a.m.
Last Update	Nov. 21, 2024, 6:09 p.m.

Related information, measures and tools

No	URL	refsource	タグ
1	http://www.openwall.com/lists/oss-security/2024/04/08/5
2	https://github.com/openssl/openssl/commit/7e4d731b1c07201ad9374c1cd9ac5263bdf35bce
3	https://github.com/openssl/openssl/commit/7e4d731b1c07201ad9374c1cd9ac5263bdf35bce
4	https://github.com/openssl/openssl/commit/b52867a9f618bb955bed2a3ce3db4d4f97ed8e5d
5	https://github.com/openssl/openssl/commit/b52867a9f618bb955bed2a3ce3db4d4f97ed8e5d
6	https://github.com/openssl/openssl/commit/e9d7083e241670332e0443da0f0d4ffb52829f08
7	https://github.com/openssl/openssl/commit/e9d7083e241670332e0443da0f0d4ffb52829f08
8	https://github.openssl.org/openssl/extended-releases/commit/5f8d25770ae6437db119dfc951e207271a326640
9	https://github.openssl.org/openssl/extended-releases/commit/5f8d25770ae6437db119dfc951e207271a326640
10	https://security.netapp.com/advisory/ntap-20240503-0013/
11	https://www.openssl.org/news/secadv/20240408.txt
12	https://www.openssl.org/news/secadv/20240408.txt

Common Vulnerabilities List

JVN Vulnerability Information

OpenSSL におけるサービス運用妨害 (DoS) の脆弱性 (Security Advisory [8th April 2024])

Title	OpenSSL におけるサービス運用妨害 (DoS) の脆弱性 (Security Advisory [8th April 2024])
Summary	深刻度 - 低 (Severity: Low) OpenSSL において、 TLSv1.3 セッションの処理時にメモリを多量に消費し、サービス運用妨害 (DoS) 状態となる問題 (CVE-2024-2511) が報告されています。本脆弱性は SSL_OP_NO_TICKET オプションが使用されている場合に発生する可能性があり、early_data が設定され、anti-replay 機能が有効になっている場合は発生しません。また、本脆弱性は TLSv1.3 をサポートする TLS サーバーのみ影響を受け、TLS クライアントは影響を受けず、また OpenSSL の FIPS モジュールも影響を受けません。
Possible impacts	大量のメモリを消費させられ、サービス運用妨害 (DoS) 状態となる可能性があります。
Solution	[アップデートする] 開発者による本脆弱性公開時点では、深刻度が低であるため、修正予定バージョンのみが通知されていましたが、現地時間 2024 年 6 月 4 日に本脆弱性を修正した以下のバージョンがリリースされました。　* OpenSSL 3.2.2 (3.2 系ユーザ向け) 　* OpenSSL 3.1.6 (3.1 系ユーザ向け) 　* OpenSSL 3.0.14 (3.0 系ユーザ向け) プレミアムサポートカスタマ向けには以下のバージョンで修正が提供されるとのことです。　* OpenSSL 1.1.1y (1.1.1 プレミアムサポートカスタマ向け)
Publication Date	April 9, 2024, midnight
Registration Date	April 10, 2024, 11:20 a.m.
Last Update	Oct. 24, 2025, 11:08 a.m.

Affected System

OpenSSL Project

OpenSSL 1.1.1

OpenSSL 3.0

OpenSSL 3.1

OpenSSL 3.2

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2024-2511	https://www.cve.org/CVERecord?id=CVE-2024-2511

ベンダー情報

No	Name	URL
Hitachi Software Vulnerability Information
1	hitachi-sec-2024-150	https://www.hitachi.com/products/it/software/security/info/vuls/hitachi-sec-2024-150/index.html
2	hitachi-sec-2025-103	https://www.hitachi.com/products/it/software/security/info/vuls/hitachi-sec-2025-103/index.html
3	hitachi-sec-2025-125	https://www.hitachi.com/products/it/software/security/info/vuls/hitachi-sec-2025-125/index.html
OpenSSL Project
4	OpenSSL 3.0 Series Release Notes	https://www.openssl.org/news/openssl-3.0-notes.html
5	OpenSSL 3.1 Series Release Notes	https://www.openssl.org/news/openssl-3.1-notes.html
6	OpenSSL 3.2 Series Release Notes	https://www.openssl.org/news/openssl-3.2-notes.html
7	OpenSSL Security Advisory [8th April 2024]	https://www.openssl.org/news/secadv/20240408.txt
サーバ・クライアント製品セキュリティ情報
8	hitachi-sec-2025-210	https://www.hitachi.co.jp/products/it/server/security/info/vulnerable/hitachi_sec_2025_210.html
ソフトウェア製品セキュリティ情報
9	hitachi-sec-2024-150	https://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/hitachi-sec-2024-150/index.html
10	hitachi-sec-2025-103	https://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/hitachi-sec-2025-103/index.html
11	hitachi-sec-2025-125	https://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/hitachi-sec-2025-125/index.html

その他

No	Name	URL
ICS-CERT ADVISORY
1	ICSA-24-319-06	https://www.cisa.gov/news-events/ics-advisories/icsa-24-319-06
2	ICSA-24-319-08	https://www.cisa.gov/news-events/ics-advisories/icsa-24-319-08
3	ICSA-25-044-09	https://www.cisa.gov/news-events/ics-advisories/icsa-25-044-09
JVN
4	JVNVU#95962757	https://jvn.jp/vu/JVNVU95962757/
5	JVNVU#96191615	https://jvn.jp/vu/JVNVU96191615/index.html
6	JVNVU#96443143	https://jvn.jp/vu/JVNVU96443143/index.html

Change Log

No	Changed Details	Date of change
4	[2024年12月18日] ベンダ情報：日立 (hitachi-sec-2024-150) を追加	Dec. 18, 2024, 4:04 p.m.
3	[2024年11月19日] 参考情報：JVN (JVNVU#96191615) を追加参考情報：ICS-CERT ADVISORY (ICSA-24-319-06) を追加参考情報：ICS-CERT ADVISORY (ICSA-24-319-08) を追加	Nov. 19, 2024, 11:55 a.m.
6	[2025年01月30日] ベンダ情報：日立 (hitachi-sec-2025-103) を追加	Jan. 30, 2025, 8:52 a.m.
7	[2025年02月17日] 参考情報：JVN (JVNVU#95962757) を追加参考情報：ICS-CERT ADVISORY (ICSA-25-044-09) を追加	Feb. 17, 2025, 4:41 p.m.
8	[2025年10月01日] ベンダ情報：日立 (hitachi-sec-2025-125) を追加	Oct. 1, 2025, 12:17 p.m.
1	[2024年04月10日] 掲載	April 10, 2024, 10:45 a.m.
2	[2024年06月06日] 対策：内容を更新参考情報：OpenSSL Project (OpenSSL 3.0 Series Release Notes) を追加参考情報：OpenSSL Project (OpenSSL 3.1 Series Release Notes) を追加参考情報：OpenSSL Project (OpenSSL 3.2 Series Release Notes) を追加	June 6, 2024, 11:24 a.m.
9	[2025年10月24日] ベンダ情報：日立 (hitachi-sec-2025-210) を追加	Oct. 24, 2025, 10:43 a.m.