【活用ガイド】

JVNDB-2024-001003

OpenSSL における POLY1305 MAC 実装不備の問題(Security Advisory [9th January 2024])

概要

OpenSSL Projectより、OpenSSL Security Advisory [9th January 2024]("POLY1305 MAC implementation corrupts vector registers on PowerPC (CVE-2023-6129")) が公開されました。

深刻度 - 低 (Severity: Low)
PowerISA 2.07 命令をサポートする PowerPC プロセッサ用の OpenSSL の POLY1305 MAC (メッセージ認証コード) 実装は、ベクトルレジスタに保存された値の復元処理に問題があり、アプリケーション内部状態の破損を招くことがあります。

なお、POLY1305 MAC アルゴリズムは FIPS に準拠していないため、FIPS プロバイダは本脆弱性を含むコードを実装しておらず、影響を受けません。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 6.5 (警告) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 高
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): なし
  • 完全性への影響(I): 低
  • 可用性への影響(A): 高
影響を受けるシステム


OpenSSL Project
  • OpenSSL 3.0.0 から 3.0.12
  • OpenSSL 3.1.0 から 3.1.4
  • OpenSSL 3.2.0

OpenSSL 1.1.1 および 1.0.2 は本脆弱性の影響を受けません。 なお、本脆弱性を含むコードは、PowerISA 2.07 命令をサポートする PowerPC プロセッサでのみ動作するものです。
想定される影響

アプリケーションの内部状態が破損することにより種々の影響が生じます。最悪の場合、攻撃者によりアプリケーションが完全に制御される可能性がありますが、より可能性が高い影響としては、計算結果の誤りやサービス運用妨害(DoS)状態となることが挙げられます。
対策

[アップデートする]
開発者による本脆弱性公開時点では、深刻度が低であるため、OpenSSL git リポジトリにて、commit のみを提供していましたが、現地時間 2024 年 1 月 30 日に本脆弱性を修正した以下のバージョンがリリースされました。

 * OpenSSL 3.2.1
 * OpenSSL 3.1.5
 * OpenSSL 3.0.13
ベンダ情報

OpenSSL Project
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 境界外書き込み(CWE-787) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2023-6129
参考情報

  1. JVN : JVNVU#98269979
  2. National Vulnerability Database (NVD) : CVE-2023-6129
更新履歴

  • [2024年01月11日]
      掲載
  • [2024年02月06日]
      ベンダ情報:内容を更新
      対策:内容を更新
      参考情報:National Vulnerability Database (NVD) (CVE-2023-6129) を追加
      CVSS による深刻度:内容を更新

公表日2024/01/10
登録日2024/01/11
最終更新日2024/02/06