openssl-3.0.1-47.el9

以下項目について対処しました。

[Security Fix]
- OpenSSL には、X.509 証明書の検証における名前制約の確認処理に
境界外読み取りを引き起こす問題があるため、リモートの攻撃者により、
巧妙に細工された証明書を介して、クラッシュの発生とこれに起因する
サービス拒否攻撃を可能とする脆弱性が存在します。(CVE-2022-4203)

- OpenSSL には、サイドチャンネル攻撃が可能な問題があるため、
クライアントとサーバー間の本物の接続を観察していた攻撃者により、
サーバーに多くの試行メッセージを送信することで、ネットワーク越し
に平文を復元できる脆弱性が存在します。(CVE-2022-4304)

- OpenSSL の PEM_read_bio_ex() 関数には、ペイロードデータの
サイズが 0 バイトの PEM ファイルを読み取った際、当該関数の実行が
失敗するにもかかわらず解放済みバッファーへのポインターをヘッダ引数
に含めてしまう問題があるため、リモートの攻撃者により、細工した
PEM ファイルを介して、クラッシュの発生とこれに起因するサービス
拒否攻撃を可能とする脆弱性が存在します。(CVE-2022-4450)

- OpenSSL の BIO_new_NDEF() 関数には、CMS 受信者の公開鍵が無効
な場合など、当該関数の実行が失敗する特定の条件下で引き渡された BIO
チェーン情報を適切にクリーンアップせず、解放されたメモリ領域を利用
してしまう問題があるため、リモートの攻撃者により、クラッシュの発生
とこれに起因するサービス拒否攻撃を可能とする脆弱性が存在します。
(CVE-2023-0215)

- OpenSSL の d2i_PKCS7 関数には、不正な PKCS7 形式のデータの
読み込み時に無効なメモリアドレスをデリファレンスしてしまう問題が
あるため、リモートの攻撃者により、巧妙に細工された PKCS7 形式の
データを介して、クラッシュの発生とこれに起因するサービス拒否攻撃
を可能とする脆弱性が存在します。(CVE-2023-0216)

- OpenSSL の EVP_PKEY_public_check() 関数には、無効なメモリ
アドレスをデリファレンスしてしまう問題があるため、リモートの攻撃者
により、細工した DSA 公開鍵のチェック処理を介して、クラッシュの
発生とこれに起因するサービス拒否攻撃を可能とする脆弱性が存在します。
(CVE-2023-0217)

- OpenSSL の X.509 の GENERAL_NAME 構造体には、x400Address
メンバの型指定が誤って ASN1_TYPE として宣言されていることに起因
して任意のポインターを memcmp() 関数に引き渡すことができる問題が
あるため、リモートの攻撃者により、CRL チェックを有効にするなどの
細工をしたアプリケーションを介して、メモリ領域の不正な読み取りや
サービス拒否攻撃を可能とする脆弱性が存在します。(CVE-2023-0286)

- OpenSSL には、NULL ポインタデリファレンスの問題があるため、
リモートの攻撃者により、OpenSSL ライブラリで認識はされているが
利用可能でないハッシュアルゴリズムを用いた署名を介して、
クラッシュを可能とする脆弱性が存在します。(CVE-2023-0401)