NVD脆弱性詳細

Exploit、PoC検索

NVD脆弱性検索トップ

->

NVD脆弱性詳細

CVE-2024-2511

概要	Issue summary: Some non-default TLS server configurations can cause unbounded memory growth when processing TLSv1.3 sessions Impact summary: An attacker may exploit certain server configurations to trigger unbounded memory growth that would lead to a Denial of Service This problem can occur in TLSv1.3 if the non-default SSL_OP_NO_TICKET option is being used (but not if early_data support is also configured and the default anti-replay protection is in use). In this case, under certain conditions, the session cache can get into an incorrect state and it will fail to flush properly as it fills. The session cache will continue to grow in an unbounded manner. A malicious client could deliberately create the scenario for this failure to force a Denial of Service. It may also happen by accident in normal operation. This issue only affects TLS servers supporting TLSv1.3. It does not affect TLS clients. The FIPS modules in 3.2, 3.1 and 3.0 are not affected by this issue. OpenSSL 1.0.2 is also not affected by this issue.
公表日	2024年4月8日23:15
登録日	2024年4月9日10:00
最終更新日	2024年11月21日18:09

関連情報、対策とツール

No	URL	refsource	タグ
1	http://www.openwall.com/lists/oss-security/2024/04/08/5
2	https://github.com/openssl/openssl/commit/7e4d731b1c07201ad9374c1cd9ac5263bdf35bce
3	https://github.com/openssl/openssl/commit/7e4d731b1c07201ad9374c1cd9ac5263bdf35bce
4	https://github.com/openssl/openssl/commit/b52867a9f618bb955bed2a3ce3db4d4f97ed8e5d
5	https://github.com/openssl/openssl/commit/b52867a9f618bb955bed2a3ce3db4d4f97ed8e5d
6	https://github.com/openssl/openssl/commit/e9d7083e241670332e0443da0f0d4ffb52829f08
7	https://github.com/openssl/openssl/commit/e9d7083e241670332e0443da0f0d4ffb52829f08
8	https://github.openssl.org/openssl/extended-releases/commit/5f8d25770ae6437db119dfc951e207271a326640
9	https://github.openssl.org/openssl/extended-releases/commit/5f8d25770ae6437db119dfc951e207271a326640
10	https://security.netapp.com/advisory/ntap-20240503-0013/
11	https://www.openssl.org/news/secadv/20240408.txt
12	https://www.openssl.org/news/secadv/20240408.txt

共通脆弱性一覧

JVN脆弱性情報

OpenSSL におけるサービス運用妨害 (DoS) の脆弱性 (Security Advisory [8th April 2024])

タイトル	OpenSSL におけるサービス運用妨害 (DoS) の脆弱性 (Security Advisory [8th April 2024])
概要	深刻度 - 低 (Severity: Low) OpenSSL において、 TLSv1.3 セッションの処理時にメモリを多量に消費し、サービス運用妨害 (DoS) 状態となる問題 (CVE-2024-2511) が報告されています。本脆弱性は SSL_OP_NO_TICKET オプションが使用されている場合に発生する可能性があり、early_data が設定され、anti-replay 機能が有効になっている場合は発生しません。また、本脆弱性は TLSv1.3 をサポートする TLS サーバーのみ影響を受け、TLS クライアントは影響を受けず、また OpenSSL の FIPS モジュールも影響を受けません。
想定される影響	大量のメモリを消費させられ、サービス運用妨害 (DoS) 状態となる可能性があります。
対策	[アップデートする] 開発者による本脆弱性公開時点では、深刻度が低であるため、修正予定バージョンのみが通知されていましたが、現地時間 2024 年 6 月 4 日に本脆弱性を修正した以下のバージョンがリリースされました。　* OpenSSL 3.2.2 (3.2 系ユーザ向け) 　* OpenSSL 3.1.6 (3.1 系ユーザ向け) 　* OpenSSL 3.0.14 (3.0 系ユーザ向け) プレミアムサポートカスタマ向けには以下のバージョンで修正が提供されるとのことです。　* OpenSSL 1.1.1y (1.1.1 プレミアムサポートカスタマ向け)
公表日	2024年4月9日0:00
登録日	2024年4月10日11:20
最終更新日	2025年10月24日11:08

影響を受けるシステム

OpenSSL Project

OpenSSL 1.1.1

OpenSSL 3.0

OpenSSL 3.1

OpenSSL 3.2

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2024-2511	https://www.cve.org/CVERecord?id=CVE-2024-2511

ベンダー情報

No	名前	URL
Hitachi Software Vulnerability Information
1	hitachi-sec-2024-150	https://www.hitachi.com/products/it/software/security/info/vuls/hitachi-sec-2024-150/index.html
2	hitachi-sec-2025-103	https://www.hitachi.com/products/it/software/security/info/vuls/hitachi-sec-2025-103/index.html
3	hitachi-sec-2025-125	https://www.hitachi.com/products/it/software/security/info/vuls/hitachi-sec-2025-125/index.html
OpenSSL Project
4	OpenSSL 3.0 Series Release Notes	https://www.openssl.org/news/openssl-3.0-notes.html
5	OpenSSL 3.1 Series Release Notes	https://www.openssl.org/news/openssl-3.1-notes.html
6	OpenSSL 3.2 Series Release Notes	https://www.openssl.org/news/openssl-3.2-notes.html
7	OpenSSL Security Advisory [8th April 2024]	https://www.openssl.org/news/secadv/20240408.txt
サーバ・クライアント製品セキュリティ情報
8	hitachi-sec-2025-210	https://www.hitachi.co.jp/products/it/server/security/info/vulnerable/hitachi_sec_2025_210.html
ソフトウェア製品セキュリティ情報
9	hitachi-sec-2024-150	https://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/hitachi-sec-2024-150/index.html
10	hitachi-sec-2025-103	https://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/hitachi-sec-2025-103/index.html
11	hitachi-sec-2025-125	https://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/hitachi-sec-2025-125/index.html

その他

No	名前	URL
ICS-CERT ADVISORY
1	ICSA-24-319-06	https://www.cisa.gov/news-events/ics-advisories/icsa-24-319-06
2	ICSA-24-319-08	https://www.cisa.gov/news-events/ics-advisories/icsa-24-319-08
3	ICSA-25-044-09	https://www.cisa.gov/news-events/ics-advisories/icsa-25-044-09
JVN
4	JVNVU#95962757	https://jvn.jp/vu/JVNVU95962757/
5	JVNVU#96191615	https://jvn.jp/vu/JVNVU96191615/index.html
6	JVNVU#96443143	https://jvn.jp/vu/JVNVU96443143/index.html

変更履歴

No	変更内容	変更日
4	[2024年12月18日] ベンダ情報：日立 (hitachi-sec-2024-150) を追加	2024年12月18日16:04
3	[2024年11月19日] 参考情報：JVN (JVNVU#96191615) を追加参考情報：ICS-CERT ADVISORY (ICSA-24-319-06) を追加参考情報：ICS-CERT ADVISORY (ICSA-24-319-08) を追加	2024年11月19日11:55
6	[2025年01月30日] ベンダ情報：日立 (hitachi-sec-2025-103) を追加	2025年1月30日8:52
7	[2025年02月17日] 参考情報：JVN (JVNVU#95962757) を追加参考情報：ICS-CERT ADVISORY (ICSA-25-044-09) を追加	2025年2月17日16:41
8	[2025年10月01日] ベンダ情報：日立 (hitachi-sec-2025-125) を追加	2025年10月1日12:17
1	[2024年04月10日] 掲載	2024年4月10日10:45
2	[2024年06月06日] 対策：内容を更新参考情報：OpenSSL Project (OpenSSL 3.0 Series Release Notes) を追加参考情報：OpenSSL Project (OpenSSL 3.1 Series Release Notes) を追加参考情報：OpenSSL Project (OpenSSL 3.2 Series Release Notes) を追加	2024年6月6日11:24
9	[2025年10月24日] ベンダ情報：日立 (hitachi-sec-2025-210) を追加	2025年10月24日10:43