JVNVU#94632906
OpenSSLのX.509ポリシー制限の検証における過剰なリソース消費の問題

OpenSSLのポリシー制限が含まれているX.509証明書チェーンの検証においてリソースが過剰に消費される問題があります。

• OpenSSL 3.1、3.0、1.1.1、1.0.2

OpenSSL Projectより、Excessive Resource Usage Verifying X.509 Policy Constraints (CVE-2023-0464)が公開されました。
OpenSSLには、次の脆弱性が存在します。

深刻度 - 低（Severity: Low）
OpenSSLのポリシー制限が含まれているX.509証明書チェーンの検証においてリソースが過剰に消費される問題があります。
ポリシー処理はデフォルトで無効になっており、コマンドラインユーティリティに「-policy」引数を渡すか、「X509_VERIFY_PARAM_set1_policies()」関数を呼び出すことにより有効にできます。

攻撃者によって細工された計算リソースを過剰に消費する証明書チェーンを処理させられることで、サービス運用妨害（DoS）攻撃を受ける可能性があります。

修正を適用する
開発者によると、本脆弱性の深刻度が低であるため、2023年3月23日現在、正式リリースは提供されておらず、以下のコミットで修正されているとのことです。

• commit 2017771e（3.1ユーザ向け）
• commit 959c59c7（3.0ユーザ向け）
• commit 879f7080（1.1.1ユーザ向け）
• commit 2dcd4f1e（1.0.2プレミアムサポートカスタマ向け）

• OpenSSL 3.1.1（3.1ユーザ向け）
• OpenSSL 3.0.9（3.0ユーザ向け）
• OpenSSL 1.1.1u（1.1.1ユーザ向け）
• OpenSSL 1.0.2zh（1.0.2プレミアムサポートカスタマ向け）