NVD脆弱性詳細

CVE-2023-0464

概要	A security vulnerability has been identified in all supported versions of OpenSSL related to the verification of X.509 certificate chains that include policy constraints. Attackers may be able to exploit this vulnerability by creating a malicious certificate chain that triggers exponential use of computational resources, leading to a denial-of-service (DoS) attack on affected systems. Policy processing is disabled by default but can be enabled by passing the `-policy' argument to the command line utilities or by calling the `X509_VERIFY_PARAM_set1_policies()' function.
公表日	2023年3月23日2:15
登録日	2023年3月23日10:00
最終更新日	2024年11月21日16:37

CVSS3.1 : HIGH
スコア	7.5
ベクター	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	不要
利用者の関与(UI)	不要
影響の想定範囲(S)	変更なし
機密性への影響(C)	なし
完全性への影響(I)	なし
可用性への影響(A)	高

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:openssl:openssl::::::::	3.1.0			3.1.1
cpe:2.3:a:openssl:openssl::::::::	3.0.0			3.0.9
cpe:2.3:a:openssl:openssl::::::::	1.1.1			1.1.1u
cpe:2.3:a:openssl:openssl::::::::	1.0.2			1.0.2zh

関連情報、対策とツール

No	URL	タグ
1	https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=2017771e2db3e2b96f89bbe8766c3209f6a99545	Mailing List Patch
2	https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=2017771e2db3e2b96f89bbe8766c3209f6a99545	Mailing List Patch
3	https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=2dcd4f1e3115f38cefa43e3efbe9b801c27e642e	Broken Link
4	https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=2dcd4f1e3115f38cefa43e3efbe9b801c27e642e	Broken Link
5	https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=879f7080d7e141f415c79eaa3a8ac4a3dad0348b	Mailing List Patch
6	https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=879f7080d7e141f415c79eaa3a8ac4a3dad0348b	Mailing List Patch
7	https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=959c59c7a0164117e7f8366466a32bb1f8d77ff1	Mailing List Patch
8	https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=959c59c7a0164117e7f8366466a32bb1f8d77ff1	Mailing List Patch
9	https://lists.debian.org/debian-lts-announce/2023/06/msg00011.html
10	https://lists.debian.org/debian-lts-announce/2023/06/msg00011.html
11	https://security.gentoo.org/glsa/202402-08
12	https://security.gentoo.org/glsa/202402-08
13	https://security.netapp.com/advisory/ntap-20230406-0006/
14	https://security.netapp.com/advisory/ntap-20240621-0006/
15	https://security.netapp.com/advisory/ntap-20240621-0006/
16	https://www.couchbase.com/alerts/
17	https://www.couchbase.com/alerts/
18	https://www.debian.org/security/2023/dsa-5417
19	https://www.debian.org/security/2023/dsa-5417
20	https://www.openssl.org/news/secadv/20230322.txt	Vendor Advisory
21	https://www.openssl.org/news/secadv/20230322.txt	Vendor Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-295	不正な証明書検証	https://cwe.mitre.org/data/definitions/295.html

JVN脆弱性情報

OpenSSL の X.509 ポリシー制限の検証における過剰なリソース消費の問題

タイトル	OpenSSL の X.509 ポリシー制限の検証における過剰なリソース消費の問題
概要	OpenSSL Project より、<a href="https://www.openssl.org/news/secadv/20230322.txt"target="blank">Excessive Resource Usage Verifying X.509 Policy Constraints (CVE-2023-0464)</a> が公開されました。 OpenSSL には、次の脆弱性が存在します。深刻度 - 低（Severity: Low） OpenSSL のポリシー制限が含まれている X.509 証明書チェーンの検証においてリソースが過剰に消費される問題があります。ポリシー処理はデフォルトで無効になっており、コマンドラインユーティリティに「-policy」引数を渡すか、「X509_VERIFY_PARAM_set1_policies()」関数を呼び出すことにより有効にできます。
想定される影響	攻撃者によって細工された計算リソースを過剰に消費する証明書チェーンを処理させられることで、サービス運用妨害（DoS）攻撃を受ける可能性があります。
対策	[修正を適用する] 開発者によると、本脆弱性の深刻度が低であるため、2023 年 3 月 23 日現在、正式リリースは提供されておらず、以下のコミットで修正されているとのことです。　* commit 2017771e（3.1 ユーザ向け）　* commit 959c59c7（3.0 ユーザ向け）　* commit 879f7080（1.1.1 ユーザ向け）　* commit 2dcd4f1e（1.0.2 プレミアムサポートカスタマ向け）　なお、以下のリリース提供後のアップグレードが必要とのことです。　* OpenSSL 3.1.1（3.1 ユーザ向け）　* OpenSSL 3.0.9（3.0 ユーザ向け）　* OpenSSL 1.1.1u（1.1.1 ユーザ向け）　* OpenSSL 1.0.2zh（1.0.2 プレミアムサポートカスタマ向け）また、OpenSSL 1.1.1 は 2023 年 9 月 11 日にサポートが終了し、以降のセキュリティ修正は、プレミアムサポートカスタマのみに提供されるとのことです。
公表日	2023年3月23日0:00
登録日	2023年3月24日13:43
最終更新日	2025年8月26日17:08

影響を受けるシステム

OpenSSL Project

OpenSSL 1.0.2

OpenSSL 1.1.1

OpenSSL 3.0

OpenSSL 3.1

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2023-0464	https://www.cve.org/CVERecord?id=CVE-2023-0464
National Vulnerability Database (NVD)
2	CVE-2023-0464	https://nvd.nist.gov/vuln/detail/CVE-2023-0464

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-295	https://cwe.mitre.org/data/definitions/295.html

ベンダー情報

No	名前	URL
Git
1	Fixed in OpenSSL 1.1.1u (git commit)	https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=879f7080d7e141f415c79eaa3a8ac4a3dad0348b
2	Fixed in OpenSSL 3.0.9 (git commit)	https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=959c59c7a0164117e7f8366466a32bb1f8d77ff1
3	Fixed in OpenSSL 3.1.1 (git commit)	https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=2017771e2db3e2b96f89bbe8766c3209f6a99545
Hitachi Software Vulnerability Information
4	hitachi-sec-2024-145	https://www.hitachi.com/products/it/software/security/info/vuls/hitachi-sec-2024-145/index.html
OpenSSL Project
5	Vulnerabilities	https://www.openssl.org/news/vulnerabilities.html
OpenSSL Security Advisory
6	Excessive Resource Usage Verifying X.509 Policy Constraints (CVE-2023-0464)	https://www.openssl.org/news/secadv/20230322.txt
サーバ・クライアント製品セキュリティ情報
7	hitachi-sec-2023-217	https://www.hitachi.co.jp/products/it/server/security/info/vulnerable/hitachi_sec_2023_217.html
ソフトウェア製品セキュリティ情報
8	hitachi-sec-2024-145	https://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/hitachi-sec-2024-145/index.html

その他

No	名前	URL
ICS-CERT ADVISORY
1	ICSA-23-166-11	https://www.cisa.gov/news-events/ics-advisories/icsa-23-166-11
2	ICSA-23-348-10	https://www.cisa.gov/news-events/ics-advisories/icsa-23-348-10
3	ICSA-23-348-16	https://www.cisa.gov/news-events/ics-advisories/icsa-23-348-16
4	ICSA-24-102-08	https://www.cisa.gov/news-events/ics-advisories/icsa-24-102-08
5	ICSA-24-165-04	https://www.cisa.gov/news-events/ics-advisories/icsa-24-165-04
6	ICSA-24-165-06	https://www.cisa.gov/news-events/ics-advisories/icsa-24-165-06
7	ICSA-24-165-10	https://www.cisa.gov/news-events/ics-advisories/icsa-24-165-10
8	ICSA-24-165-11	https://www.cisa.gov/news-events/ics-advisories/icsa-24-165-11
9	ICSA-25-044-09	https://www.cisa.gov/news-events/ics-advisories/icsa-25-044-09
10	ICSA-25-226-21	https://www.cisa.gov/news-events/ics-advisories/icsa-25-226-21
JVN
11	JVNVU#92169998	https://jvn.jp/vu/JVNVU92169998/index.html
12	JVNVU#93250330	https://jvn.jp/vu/JVNVU93250330/index.html
13	JVNVU#94632906	http://jvn.jp/vu/JVNVU94632906/index.html
14	JVNVU#95962757	https://jvn.jp/vu/JVNVU95962757/index.html
15	JVNVU#98271228	https://jvn.jp/vu/JVNVU98271228/index.html
16	JVNVU#99464755	http://jvn.jp/vu/JVNVU99464755/index.html
17	JVNVU#99836374	https://jvn.jp/vu/JVNVU99836374/index.html

変更履歴

No	変更内容	変更日
3	[2023年12月13日] ベンダ情報：日立 (hitachi-sec-2023-217) を追加	2023年12月13日9:52
4	[2023年12月21日] 参考情報：JVN (JVNVU#98271228) を追加参考情報：ICS-CERT ADVISORY (ICSA-23-348-10) を追加参考情報：ICS-CERT ADVISORY (ICSA-23-348-16) を追加	2023年12月21日11:28
5	[2024年04月15日] 参考情報：JVN (JVNVU#99836374) を追加参考情報：ICS-CERT ADVISORY (ICSA-24-102-08) を追加	2024年4月15日12:33
6	[2024年06月05日] CVSS による深刻度：内容を更新 CWE による脆弱性タイプ一覧：内容を更新	2024年6月5日17:18
7	[2024年06月17日] 参考情報：JVN (JVNVU#93250330) を追加参考情報：ICS-CERT ADVISORY (ICSA-24-165-04) を追加参考情報：ICS-CERT ADVISORY (ICSA-24-165-06) を追加参考情報：ICS-CERT ADVISORY (ICSA-24-165-10) を追加参考情報：ICS-CERT ADVISORY (ICSA-24-165-11) を追加	2024年6月17日13:54
8	[2024年09月17日] ベンダ情報：日立 (hitachi-sec-2024-145) を追加	2024年9月17日12:30
9	[2025年02月18日] 参考情報：JVN (JVNVU#95962757) を追加参考情報：ICS-CERT ADVISORY (ICSA-25-044-09) を追加	2025年2月18日13:21
1	[2023年03月24日] 掲載	2023年3月24日13:43
2	[2023年06月16日] 参考情報：JVN (JVNVU#99464755) を追加参考情報：ICS-CERT ADVISORY (ICSA-23-166-11) を追加参考情報：National Vulnerability Database (NVD) (CVE-2023-0464) を追加	2023年6月16日11:38
10	[2025年08月18日] 参考情報：JVN (JVNVU#92169998) を追加参考情報：ICS-CERT ADVISORY (ICSA-25-226-21) を追加	2025年8月18日14:57