JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は5月30日、「JVNVU#96872634: OpenSSLにおける解放済みメモリー使用(user-after-free)の脆弱性(Security Advisory [28th May 2024])」において、OpenSSLに脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によって任意のコードを実行される可能性がある。

JVNVU#96872634: OpenSSLにおける解放済みメモリー使用(user-after-free)の脆弱性(Security Advisory [28th May 2024])

○脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

openssl.org/news/secadv/20240528.txt

脆弱性の情報(CVE)は次のとおり。

CVE-2024-4741 - SSL_free_buffersに解放後使用(UAF: use-after-free)の脆弱性。SSL_free_buffersを直接呼び出すアプリケーションにのみ影響する

○脆弱性が存在する製品

脆弱性が存在するとされる製品およびバージョンは次のとおり。

OpenSSL 3.3

OpenSSL 3.2

OpenSSL 3.1

OpenSSL 3.0

OpenSSL 1.1.1

なお、OpenSSL 1.0.2およびFIPSモジュールはこの脆弱性の影響を受けない。

○脆弱性を修正した製品

脆弱性を修正した製品およびバージョンは次のとおり。

OpenSSL 3.3 commit e5093133c3

OpenSSL 3.2 commit c88c3de510

OpenSSL 3.1 commit 704f725b96

OpenSSL 3.0 commit b3f0eb0a29

OpenSSL 1.1.1 commit f7a045f314

OpenSSL 1.1.1の修正はプレミアムサポートの顧客に限り利用可能。また、これら修正は次のリリースに含まれる予定。

OpenSSL 3.3.1

OpenSSL 3.2.2

OpenSSL 3.1.6

OpenSSL 3.0.14

OpenSSL 1.1.1y

OpenSSLの開発者は脆弱性の深刻度を低いと評価しており、緊急の修正パッチを提供していない。影響を受けるシステムを運用しており速やかに対策したい場合は、GitHubリポジトリーから上記の修正版ソースコードを取得し、手動でアップデートする必要がある。