JVNDB-2022-002433

JVNDB-2022-002433
AES-NI アセンブリ最適化実装を使用する 32 ビット x86 プラットフォームにおける、メモリ内のデータが公開される脆弱性
概要
AES-NI アセンブリ最適化実装を使用する 32 ビット x86 プラットフォームには、AES OCB モードの際、状況によってはデータ全体が暗号化されないため、メモリ内のデータが公開される脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)
CVSS v3 による深刻度基本値: 5.3 (警告) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): 低完全性への影響(I): なし可用性への影響(A): なし CVSS v2 による深刻度基本値: 5.0 (警告) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃前の認証要否: 不要機密性への影響(C): 部分的完全性への影響(I): なし可用性への影響(A): なし
影響を受けるシステム

Fedora Project Fedora NetApp Active IQ Unified Manager Clustered Data ONTAP Antivirus Connector H300S ファームウェア H410C ファームウェア H410S ファームウェア H500S ファームウェア H700S ファームウェア OpenSSL Project OpenSSL 1.1.1 から 1.1.1p OpenSSL 3.0.0 から 3.0.4 日本電気 SpoolServer/ReportFiling WitchyMail NEC Cyber Security Platform Linux x86 版 NCSP エージェント 2.0.7.2 から 2.0.7.3 NEC Cyber Security Platform Linux x86 版 NCSP エージェント 3.0.0.2 から 3.0.0.5 UNIVERGE WA シリーズ 8.3.9 から 8.6.11 日立 Hitachi Device Manager Hitachi Tuning Manager 日立アドバンストサーバ HA8000V シリーズ
本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。
想定される影響
メモリ内のデータが公開される可能性があります。
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
Fedora Project Fedora Update Notification : FEDORA-2022-89a17be281 Fedora Update Notification : FEDORA-2022-3fdc2d3047 Fedora Update Notification : FEDORA-2022-41890e9e44 NetApp NetApp Advisory : NTAP-20220715-0011 OpenSSL Project Git : Fix AES OCB encrypt/decrypt for x86 AES-NI (9199256) Git : Fix AES OCB encrypt/decrypt for x86 AES-NI (a98f339) OpenSSL Project : OpenSSL Security Advisory [5 July 2022] 日本電気 NEC製品セキュリティ情報 : NV22-012 日立 Hitachi Software Vulnerability Information : hitachi-sec-2023-126 サーバ・クライアント製品セキュリティ情報 : hitachi-sec-2023-206 ソフトウェア製品セキュリティ情報 : hitachi-sec-2023-126
CWEによる脆弱性タイプ一覧 CWEとは?
不適切な暗号強度(CWE-326) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2022-2097
参考情報
JVN : JVNVU#96381485 JVN : JVNVU#90782730 JVN : JVNVU#99464755 JVN : JVNVU#93250330 National Vulnerability Database (NVD) : CVE-2022-2097 ICS-CERT ADVISORY : ICSA-23-017-03 ICS-CERT ADVISORY : ICSA-23-166-11 ICS-CERT ADVISORY : ICSA-24-165-10 ICS-CERT ADVISORY : ICSA-24-165-11
更新履歴
[2022年09月27日] 掲載 [2022年12月13日] 影響を受けるシステム：ベンダ情報 (NV22-012) の更新に伴い内容を更新 [2023年01月16日] 参考情報：JVN (JVNVU#90782730) を追加 [2023年01月19日] 参考情報：ICS-CERT ADVISORY (ICSA-23-017-03) を追加 [2023年04月06日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：日立 (hitachi-sec-2023-206) を追加 [2023年04月25日] 影響を受けるシステム：ベンダ情報 (NV22-012) の更新に伴い内容を更新 [2022年06月16日] 参考情報：JVN (JVNVU#99464755) を追加参考情報：ICS-CERT ADVISORY (ICSA-23-166-11) を追加 [2023年07月20日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：日立 (hitachi-sec-2023-126) を追加 [2024年06月17日] 参考情報：JVN (JVNVU#93250330) を追加参考情報：ICS-CERT ADVISORY (ICSA-24-165-10) を追加参考情報：ICS-CERT ADVISORY (ICSA-24-165-11) を追加


公表日	2022/07/05
登録日	2022/09/27
最終更新日	2024/06/17

AES-NI アセンブリ最適化実装を使用する 32 ビット x86 プラットフォームにおける、メモリ内のデータが公開される脆弱性