NVD Vulnerability Detail
Search Exploit, PoC
CVE-2024-4603
Summary

Issue summary: Checking excessively long DSA keys or parameters may be very
slow.

Impact summary: Applications that use the functions EVP_PKEY_param_check()
or EVP_PKEY_public_check() to check a DSA public key or DSA parameters may
experience long delays. Where the key or parameters that are being checked
have been obtained from an untrusted source this may lead to a Denial of
Service.

The functions EVP_PKEY_param_check() or EVP_PKEY_public_check() perform
various checks on DSA parameters. Some of those computations take a long time
if the modulus (`p` parameter) is too large.

Trying to use a very large modulus is slow and OpenSSL will not allow using
public keys with a modulus which is over 10,000 bits in length for signature
verification. However the key and parameter check functions do not limit
the modulus size when performing the checks.

An application that calls EVP_PKEY_param_check() or EVP_PKEY_public_check()
and supplies a key or parameters obtained from an untrusted source could be
vulnerable to a Denial of Service attack.

These functions are not called by OpenSSL itself on untrusted DSA keys so
only applications that directly call these functions may be vulnerable.

Also vulnerable are the OpenSSL pkey and pkeyparam command line applications
when using the `-check` option.

The OpenSSL SSL/TLS implementation is not affected by this issue.

The OpenSSL 3.0 and 3.1 FIPS providers are affected by this issue.

Publication Date May 17, 2024, 1:15 a.m.
Registration Date May 17, 2024, 10 a.m.
Last Update Nov. 21, 2024, 6:43 p.m.
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
OpenSSL におけるサービス運用妨害 (DoS) の脆弱性 (Security Advisory [16th May 2024])
Title OpenSSL におけるサービス運用妨害 (DoS) の脆弱性 (Security Advisory [16th May 2024])
Summary

OpenSSL Project より、<a href="https://www.openssl.org/news/secadv/20240516.txt"target="blank">OpenSSL Security Advisory [16th May 2024]</a>("Excessive time spent checking DSA keys and parameters (CVE-2024-4603)")が公開されました。 深刻度−低 (Severity: Low) 長すぎる DSA 公開キーまたは DSA パラメータを EVP_PKEY_param_check() 関数または EVP_PKEY_public_check() 関数でチェックする際に、時間を要する問題があります。 なお、OpenSSL 3.0 および 3.1 の FIPS プロバイダーは本脆弱性の影響を受け、OpenSSL SSL/TLS 実装は本脆弱性の影響を受けません。

Possible impacts EVP_PKEY_param_check() 関数または EVP_PKEY_public_check() 関数を使用し、信頼できないソースから取得した DSA キーまたはパラメータをチェックするアプリケーションは、サービス運用妨害 (DoS) 状態となる可能性があります。これらの関数は、OpenSSL 自体からは呼び出されないため、これらの関数を直接呼び出すアプリケーションのみが影響を受けます。「 -check 」オプションを使用する場合、 OpenSSL pkey および pkeyparam コマンドラインアプリケーションも影響を受けます。
Solution

[アップデートする] 開発者による本脆弱性公開時点では、深刻度が低であるため、OpenSSL git リポジトリにて、commit のみを提供していましたが、現地時間 2024 年 6 月 4日 に本脆弱性を修正した以下のバージョンがリリースされました。  * OpenSSL 3.3.1 (3.3 系ユーザ向け)  * OpenSSL 3.2.2 (3.2 系ユーザ向け)  * OpenSSL 3.1.6 (3.1 系ユーザ向け)  * OpenSSL 3.0.14 (3.0 系ユーザ向け)

Publication Date May 17, 2024, midnight
Registration Date May 20, 2024, 11:11 a.m.
Last Update Dec. 18, 2024, 5:38 p.m.
Affected System
OpenSSL Project
OpenSSL 3.0
OpenSSL 3.1
OpenSSL 3.2
OpenSSL 3.3
CVE (情報セキュリティ 共通脆弱性識別子)
ベンダー情報
その他
Change Log
No Changed Details Date of change
3 [2024年11月19日]
  参考情報:JVN (JVNVU#96191615) を追加
  参考情報:ICS-CERT ADVISORY (ICSA-24-319-06) を追加
 Nov. 19, 2024, 11:57 a.m.
1 [2024年05月20日]   掲載 May 20, 2024, 10:48 a.m.
2 [2024年06月06日]
  対策:内容を更新
  参考情報:OpenSSL Project (OpenSSL 3.0 Series Release Notes) を追加
  参考情報:OpenSSL Project (OpenSSL 3.1 Series Release Notes) を追加
  参考情報:OpenSSL Project (OpenSSL 3.2 Series Release Notes) を追加
  参考情報:OpenSSL Project (OpenSSL 3.3 Series Release Notes) を追加		 June 6, 2024, 11:08 a.m.
4 [2024年12月18日]
  ベンダ情報:日立 (hitachi-sec-2024-150) を追加		 Dec. 18, 2024, 4:08 p.m.