NVD脆弱性詳細

CVE-2024-0727

概要	Issue summary: Processing a maliciously formatted PKCS12 file may lead OpenSSL to crash leading to a potential Denial of Service attack Impact summary: Applications loading files in the PKCS12 format from untrusted sources might terminate abruptly. A file in PKCS12 format can contain certificates and keys and may come from an untrusted source. The PKCS12 specification allows certain fields to be NULL, but OpenSSL does not correctly check for this case. This can lead to a NULL pointer dereference that results in OpenSSL crashing. If an application processes PKCS12 files from an untrusted source using the OpenSSL APIs then that application will be vulnerable to this issue. OpenSSL APIs that are vulnerable to this are: PKCS12_parse(), PKCS12_unpack_p7data(), PKCS12_unpack_p7encdata(), PKCS12_unpack_authsafes() and PKCS12_newpass(). We have also fixed a similar issue in SMIME_write_PKCS7(). However since this function is related to writing data we do not consider it security significant. The FIPS modules in 3.2, 3.1 and 3.0 are not affected by this issue.
公表日	2024年1月26日18:15
登録日	2024年1月27日10:00
最終更新日	2024年11月21日17:47

CVSS3.1 : MEDIUM
スコア	5.5
ベクター	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
攻撃元区分(AV)	ローカル
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	不要
利用者の関与(UI)	要
影響の想定範囲(S)	変更なし
機密性への影響(C)	なし
完全性への影響(I)	なし
可用性への影響(A)	高

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:openssl:openssl::::::::	1.0.2			1.0.2zj
cpe:2.3:a:openssl:openssl::::::::	1.1.1			1.1.1x
cpe:2.3:a:openssl:openssl::::::::	3.0.0			3.0.13
cpe:2.3:a:openssl:openssl::::::::	3.1.0			3.1.5
cpe:2.3:a:openssl:openssl:3.2.0:-::::::

関連情報、対策とツール

No	URL	タグ
1	http://www.openwall.com/lists/oss-security/2024/03/11/1
2	https://github.com/openssl/openssl/commit/09df4395b5071217b76dc7d3d2e630eb8c5a79c2	Patch
3	https://github.com/openssl/openssl/commit/09df4395b5071217b76dc7d3d2e630eb8c5a79c2	Patch
4	https://github.com/openssl/openssl/commit/775acfdbd0c6af9ac855f34969cdab0c0c90844a	Patch
5	https://github.com/openssl/openssl/commit/775acfdbd0c6af9ac855f34969cdab0c0c90844a	Patch
6	https://github.com/openssl/openssl/commit/d135eeab8a5dbf72b3da5240bab9ddb7678dbd2c	Patch
7	https://github.com/openssl/openssl/commit/d135eeab8a5dbf72b3da5240bab9ddb7678dbd2c	Patch
8	https://github.openssl.org/openssl/extended-releases/commit/03b3941d60c4bce58fab69a0c22377ab439bc0e8	Patch
9	https://github.openssl.org/openssl/extended-releases/commit/03b3941d60c4bce58fab69a0c22377ab439bc0e8	Patch
10	https://github.openssl.org/openssl/extended-releases/commit/aebaa5883e31122b404e450732dc833dc9dee539	Patch
11	https://github.openssl.org/openssl/extended-releases/commit/aebaa5883e31122b404e450732dc833dc9dee539	Patch
12	https://security.netapp.com/advisory/ntap-20240208-0006/
13	https://www.openssl.org/news/secadv/20240125.txt	Vendor Advisory
14	https://www.openssl.org/news/secadv/20240125.txt	Vendor Advisory

共通脆弱性一覧

JVN脆弱性情報

OpenSSL における NULL ポインタ参照の脆弱性 (Security Advisory [25th January 2024])

タイトル	OpenSSL における NULL ポインタ参照の脆弱性 (Security Advisory [25th January 2024])
概要	OpenSSL Project より、<a href="https://www.openssl.org/news/secadv/20240125.txt"target="blank">Security Advisory [25th January 2024]</a> ("PKCS12 Decoding crashes (CVE-2024-0727)") が公開されました。深刻度 - 低 (Severity: Low) OpenSSL には、PKCS#12 形式のファイルを処理する際、特定のフィールドが NULL である場合に NULL ポインタ参照が発生する脆弱性 (CVE-2024-0727) が存在します。本脆弱性の影響を受ける API は、以下の通りです。　* PKCS12_parse() 　* PKCS12_unpack_p7data() 　* PKCS12_unpack_p7encdata() 　* PKCS12_unpack_authsafes() 　* PKCS12_newpass() なお、OpenSSL 3.2、3.1 および 3.0 内の FIPS モジュールは本脆弱性の影響を受けません。
想定される影響	NULL ポインタ参照が発生することにより、アプリケーションがサービス運用妨害 (DoS) 状態となる可能性があります。
対策	[アップデートする] 開発者による本脆弱性公開時点では、深刻度が低であるため、修正予定バージョンのみが通知されていましたが、現地時間 2024年1月30日に本脆弱性を修正した以下のバージョンがリリースされました。　* OpenSSL 3.2.1 　* OpenSSL 3.1.5 　* OpenSSL 3.0.13 　プレミアムサポートカスタマ向けには以下のバージョンで修正が提供されるとのことです。　* OpenSSL 1.1.1x（1.1.1 プレミアムサポートカスタマ向け）　* OpenSSL 1.0.2zj（1.0.2 プレミアムサポートカスタマ向け）
公表日	2024年1月26日0:00
登録日	2024年1月29日12:41
最終更新日	2025年4月14日15:09

影響を受けるシステム

OpenSSL Project

OpenSSL 1.0.2

OpenSSL 1.1.1

OpenSSL 3.0

OpenSSL 3.1

OpenSSL 3.2

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2024-0727	https://www.cve.org/CVERecord?id=CVE-2024-0727
National Vulnerability Database (NVD)
2	CVE-2024-0727	https://nvd.nist.gov/vuln/detail/CVE-2024-0727

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-noinfo	https://www.ipa.go.jp/security/vuln/scap/cwe.html

ベンダー情報

No	名前	URL
Hitachi Software Vulnerability Information
1	hitachi-sec-2024-145	https://www.hitachi.com/products/it/software/security/info/vuls/hitachi-sec-2024-145/index.html
OpenSSL Project
2	OpenSSL 3.0 Series Release Notes	https://www.openssl.org/news/openssl-3.0-notes.html
3	OpenSSL 3.1 Series Release Notes	https://www.openssl.org/news/openssl-3.1-notes.html
4	OpenSSL 3.2 Series Release Notes	https://www.openssl.org/news/openssl-3.2-notes.html
5	OpenSSL Security Advisory [25th January 2024]	https://www.openssl.org/news/secadv/20240125.txt
サーバ・クライアント製品セキュリティ情報
6	hitachi-sec-2024-210	https://www.hitachi.co.jp/products/it/server/security/info/vulnerable/hitachi_sec_2024_210.html
ソフトウェア製品セキュリティ情報
7	hitachi-sec-2024-145	https://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/hitachi-sec-2024-145/index.html
三菱電機株式会社
8	MELSEC iQ-F OPC UAユニットにおけるOpenSSLに起因するサービス拒否(DoS)の脆弱性	https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2024-006.pdf
9	三菱電機株式会社の告知ページ	https://www.mitsubishielectric.co.jp/psirt/vulnerability/index.html

その他

No	名前	URL
ICS-CERT ADVISORY
1	ICSA-24-102-01	https://www.cisa.gov/news-events/ics-advisories/icsa-24-102-01
2	ICSA-24-319-04	https://www.cisa.gov/news-events/ics-advisories/icsa-24-319-04
3	ICSA-24-319-08	https://www.cisa.gov/news-events/ics-advisories/icsa-24-319-08
4	ICSA-25-044-09	https://www.cisa.gov/news-events/ics-advisories/icsa-25-044-09
5	ICSA-25-100-02	https://www.cisa.gov/news-events/ics-advisories/icsa-25-100-02
JVN
6	JVNVU#90506697	https://jvn.jp/vu/JVNVU90506697/
7	JVNVU#93108954	https://jvn.jp/vu/JVNVU93108954/index.html
8	JVNVU#95962757	https://jvn.jp/vu/JVNVU95962757/
9	JVNVU#96191615	https://jvn.jp/vu/JVNVU96191615/index.html
10	JVNVU#99836374	https://jvn.jp/vu/JVNVU99836374/index.html

変更履歴

No	変更内容	変更日
3	[2024年03月06日] CVSS による深刻度：内容を更新 CWE による脆弱性タイプ一覧：内容を更新参考情報：National Vulnerability Database (NVD) (CVE-2024-0727) を追加	2024年3月6日14:38
4	[2024年04月15日] 参考情報：JVN (JVNVU#99836374) を追加参考情報：ICS-CERT ADVISORY (ICSA-24-102-01) を追加	2024年4月15日13:23
5	[2024年08月06日] ベンダ情報：日立(hitachi-sec-2024-210)を追加	2024年10月2日17:42
7	[2024年09月17日] ベンダ情報：日立 (hitachi-sec-2024-145) を追加	2024年9月17日12:16
8	[2024年10月02日] ベンダ情報：三菱電機(三菱電機株式会社の告知ページ)を追加　　　　　　三菱電機(MELSEC iQ-F OPC UAユニットにおけるOpenSSLに起因するサービス拒否(DoS)の脆弱性)を追加	2024年10月2日13:37
9	[2024年11月19日] 参考情報：JVN (JVNVU#96191615) を追加参考情報：ICS-CERT ADVISORY (ICSA-24-319-04 ) を追加参考情報：ICS-CERT ADVISORY (ICSA-24-319-08) を追加	2024年11月19日11:07
10	[2025年02月17日] 参考情報：JVN (JVNVU#95962757) を追加参考情報：ICS-CERT ADVISORY (ICSA-25-044-09) を追加	2025年2月17日16:40
1	[2024年01月29日] 掲載	2024年1月29日12:01
2	[2024年02月02日] 対策：内容を更新ベンダ情報：OpenSSL Project (OpenSSL 3.2 Series Release Notes) を追加　　　　　　OpenSSL Project (OpenSSL 3.1 Series Release Notes) を追加　　　　　　OpenSSL Project (OpenSSL 3.0 Series Release Notes) を追加	2024年2月2日12:44
11	[2025年04月14日] 参考情報：JVN (JJVNVU#90506697) を追加参考情報：ICS-CERT ADVISORY (ICSA-25-100-02) を追加	2025年4月14日14:06