JVNDB-2022-001228
|
MIPS 上で動作する OpenSSL における BN_mod_exp() の誤った処理
|
|
MIPS 上で動作する OpenSSL には、BN_mod_exp() で誤った結果を生成する可能性があります。
OpenSSL Project より、OpenSSL Security Advisory [28 January 2022] が公開されました。
深刻度 - 中(Severity: Moderate)
MIPS32 および MIPS64 の二乗計算における桁上がり処理に問題があり、OpenSSL で利用される楕円曲線暗号アルゴリズムが影響を受けます。(CVE-2021-4160)
RSA および DSA に対する攻撃は非常に難しく、攻撃発生の確率は高くないと考えられます。ディフィー・ヘルマン(DH)に対する攻撃は、秘密鍵に関する計算のほとんどをオフラインで実行できるため、(非常に難しいものの)可能であると考えられます。ただし、これらの攻撃には大量のリソースが必要です。
|
|
|
|
MIPS プラットフォーム上で動作する以下のバージョンの OpenSSL
|
OpenSSL Project
- OpenSSL 1.0.2
- OpenSSL 1.1.1
- OpenSSL 3.0.0
|
OpenSSL 1.1.0 はサポートが終了しているため、本脆弱性の評価を実施していないとのことです。
|
|
第三者によって秘密鍵に関する情報を推測され、暗号化された通信内容を解読される可能性があります。
|
|
[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性の対策版として次のバージョンをリリースしています。
* OpenSSL 1.0.2 gitcommit 6fc1aaaf3(プレミアムサポートを契約したユーザのみ)
* OpenSSL 1.1.1m
* OpenSSL 3.0.1
|
|
OpenSSL Project
|
|
|
|
- CVE-2021-4160
|
|
- JVN : JVNVU#95979433
- JVN : JVNVU#99475301
- National Vulnerability Database (NVD) : CVE-2021-4160
- ICS-CERT ADVISORY : ICSA-22-258-05
|
|
- [2022年02月01日]
掲載
- [2022年09月15日]
参考情報:JVN (JVNVU#99475301) を追加
- [2022年09月20日]
参考情報:ICS-CERT ADVISORY (ICSA-22-258-05) を追加
|
