CVE-2024-12797 – High-Severity OpenSSL Flaw: Update Now to Prevent MITM Attacks
2025/02/11 SecurityOnline — 無数の Web サイトやオンライン・サービスを保護するために広く使用されている、暗号化ライブラリである OpenSSL に、深刻な脆弱性が発見された。その脆弱性 CVE-2024-12797 は、従来からの X.509 証明書に代わる認証方法である、Raw Public Keys (RPK) の実装に影響するものだ。
OpenSSL のアドバイザリには、「この脆弱性の悪用に成功した攻撃者は、サーバを装うことで、中間者攻撃を仕掛ける機会を手にする。”SSL_VERIFY_PEER” 検証モードが設定されている場合において、ハンドシェイクが期待どおりに中止されないため、RFC7250 Raw Public Keys (RPK) を用いてサーバを認証しているクライアントは、そのサーバが未認証であるケースに気付かない可能性がある」と記されている。
OpenSSL では、RPK はデフォルトで無効化されているため、この脆弱性は RPK 機能を明示的に有効化しているユーザーだけに影響を及ぼす。ただし、RPK を利用しているユーザーにとって、攻撃が成功した場合の影響は深刻であり、データ侵害や不正アクセスにつながる可能性があるという。
この問題が影響を及ぼす範囲は、OpenSSL バージョン 3.4/3.3/3.2 である。すでに OpenSSL プロジェクトは、更新バージョンをリリースし、この欠陥に対処している:
- OpenSSL 3.4 ユーザー:OpenSSL 3.4.1 へとアップグレード
- OpenSSL 3.3 ユーザー:OpenSSL 3.3.2 へとアップグレード
- OpenSSL 3.2 ユーザー:OpenSSL 3.2.4 へとアップグレード
この脆弱性は、上記の OpenSSL バージョンにおいて、FIPS モジュールには影響を及ぼさない。また、OpenSSL 3.1/3.0/1.1.1/1.0.2 にも影響しないことに注意してほしい。
この脆弱性 CVE-2024-12797 は、2024年12月18日の時点で、Apple Inc. から OpenSSL に報告されたものだ。OpenSSL が、RPK を有効にしている全てのユーザーに強く推奨するのは、可能な限り早急にシステムを更新し、悪用のリスクを軽減することだ。
OpenSSL の脆弱性 CVE-2024-12797 が FIX しました。この脆弱性の影響が及ぶのは、OpenSSL の RPK 機能有効化しているユーザーのみとのことですが、さまざまなプロダクトで採用されている OpenSSL ですので、今後も油断は禁物です。よろしければ、OpenSSL で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.