NVD脆弱性詳細
Exploit、PoC検索
CVE-2024-4603
概要

Issue summary: Checking excessively long DSA keys or parameters may be very
slow.

Impact summary: Applications that use the functions EVP_PKEY_param_check()
or EVP_PKEY_public_check() to check a DSA public key or DSA parameters may
experience long delays. Where the key or parameters that are being checked
have been obtained from an untrusted source this may lead to a Denial of
Service.

The functions EVP_PKEY_param_check() or EVP_PKEY_public_check() perform
various checks on DSA parameters. Some of those computations take a long time
if the modulus (`p` parameter) is too large.

Trying to use a very large modulus is slow and OpenSSL will not allow using
public keys with a modulus which is over 10,000 bits in length for signature
verification. However the key and parameter check functions do not limit
the modulus size when performing the checks.

An application that calls EVP_PKEY_param_check() or EVP_PKEY_public_check()
and supplies a key or parameters obtained from an untrusted source could be
vulnerable to a Denial of Service attack.

These functions are not called by OpenSSL itself on untrusted DSA keys so
only applications that directly call these functions may be vulnerable.

Also vulnerable are the OpenSSL pkey and pkeyparam command line applications
when using the `-check` option.

The OpenSSL SSL/TLS implementation is not affected by this issue.

The OpenSSL 3.0 and 3.1 FIPS providers are affected by this issue.

公表日 2024年5月17日1:15
登録日 2024年5月17日10:00
最終更新日 2024年11月21日18:43
関連情報、対策とツール
共通脆弱性一覧
JVN脆弱性情報
OpenSSL におけるサービス運用妨害 (DoS) の脆弱性 (Security Advisory [16th May 2024])
タイトル OpenSSL におけるサービス運用妨害 (DoS) の脆弱性 (Security Advisory [16th May 2024])
概要

OpenSSL Project より、<a href="https://www.openssl.org/news/secadv/20240516.txt"target="blank">OpenSSL Security Advisory [16th May 2024]</a>("Excessive time spent checking DSA keys and parameters (CVE-2024-4603)")が公開されました。 深刻度−低 (Severity: Low) 長すぎる DSA 公開キーまたは DSA パラメータを EVP_PKEY_param_check() 関数または EVP_PKEY_public_check() 関数でチェックする際に、時間を要する問題があります。 なお、OpenSSL 3.0 および 3.1 の FIPS プロバイダーは本脆弱性の影響を受け、OpenSSL SSL/TLS 実装は本脆弱性の影響を受けません。

想定される影響 EVP_PKEY_param_check() 関数または EVP_PKEY_public_check() 関数を使用し、信頼できないソースから取得した DSA キーまたはパラメータをチェックするアプリケーションは、サービス運用妨害 (DoS) 状態となる可能性があります。これらの関数は、OpenSSL 自体からは呼び出されないため、これらの関数を直接呼び出すアプリケーションのみが影響を受けます。「 -check 」オプションを使用する場合、 OpenSSL pkey および pkeyparam コマンドラインアプリケーションも影響を受けます。
対策

[アップデートする] 開発者による本脆弱性公開時点では、深刻度が低であるため、OpenSSL git リポジトリにて、commit のみを提供していましたが、現地時間 2024 年 6 月 4日 に本脆弱性を修正した以下のバージョンがリリースされました。  * OpenSSL 3.3.1 (3.3 系ユーザ向け)  * OpenSSL 3.2.2 (3.2 系ユーザ向け)  * OpenSSL 3.1.6 (3.1 系ユーザ向け)  * OpenSSL 3.0.14 (3.0 系ユーザ向け)

公表日 2024年5月17日0:00
登録日 2024年5月20日11:11
最終更新日 2024年12月18日17:38
影響を受けるシステム
OpenSSL Project
OpenSSL 3.0
OpenSSL 3.1
OpenSSL 3.2
OpenSSL 3.3
CVE (情報セキュリティ 共通脆弱性識別子)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
3 [2024年11月19日]
  参考情報:JVN (JVNVU#96191615) を追加
  参考情報:ICS-CERT ADVISORY (ICSA-24-319-06) を追加
 2024年11月19日11:57
1 [2024年05月20日]   掲載 2024年5月20日10:48
2 [2024年06月06日]
  対策:内容を更新
  参考情報:OpenSSL Project (OpenSSL 3.0 Series Release Notes) を追加
  参考情報:OpenSSL Project (OpenSSL 3.1 Series Release Notes) を追加
  参考情報:OpenSSL Project (OpenSSL 3.2 Series Release Notes) を追加
  参考情報:OpenSSL Project (OpenSSL 3.3 Series Release Notes) を追加		 2024年6月6日11:08
4 [2024年12月18日]
  ベンダ情報:日立 (hitachi-sec-2024-150) を追加		 2024年12月18日16:08