JVNDB-2023-001640

JVNDB-2023-001640
OpenSSL の64ビット ARM 向け AES-XTS 実装における入力バッファ外読み込みの脆弱性 (Security Advisory [20th April 2023])
概要
OpenSSL Project より、OpenSSL Security Advisory [20th April 2023] （Input buffer over-read in AES-XTS implementation on 64 bit ARM (CVE-2023-1255)）が公開されました。深刻度 - 低（Severity: Low） OpenSSL の 64 ビット ARM プラットフォーム用 AES-XTS 復号処理の実装に、暗号文のサイズが 5 の倍数プラス 4 バイト（例えば、144 バイトや 1024 バイト）の場合に暗号文バッファの末尾を超えて読み込みをする脆弱性があります。
CVSS による深刻度 (CVSS とは?)
CVSS v3 による深刻度基本値: 5.9 (警告) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃に必要な特権レベル: 不要利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): なし完全性への影響(I): なし可用性への影響(A): 高
影響を受けるシステム

OpenSSL Project OpenSSL 3.0.0 OpenSSL 3.0.8 OpenSSL 3.1.0

想定される影響
64 ビット ARM プラットフォーム上で AES-XTS アルゴリズムを使用するアプリケーションにおいて、攻撃者が暗号文バッファのサイズとメモリアドレスを制御できる場合、アプリケーションがクラッシュさせられ、サービス運用妨害（DoS）攻撃を受ける可能性があります。
対策
[修正を適用する] 開発者によると、本脆弱性の深刻度は低であるため本脆弱性の修正に対応するリリースは提供せず、修正内容は通常の次期リリースに含まれる予定となっています。なお、本脆弱性の修正は以下のコミットで行われています。　* commit bc2f61ad （3.1ユーザ向け）　* commit 02ac9c94 （3.0ユーザ向け）
ベンダ情報
OpenSSL Project Git : Fixed in OpenSSL 3.0.9 (git commit) (Affected since 3.0.0) Git : Fixed in OpenSSL 3.1.1 (git commit) (Affected since 3.1.0) OpenSSL Security Advisory : Input buffer over-read in AES-XTS implementation on 64 bit ARM (CVE-2023-1255) 日立 Hitachi Software Vulnerability Information : hitachi-sec-2023-144 ソフトウェア製品セキュリティ情報 : hitachi-sec-2023-144
CWEによる脆弱性タイプ一覧 CWEとは?
境界外読み取り(CWE-125) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2023-1255
参考情報
JVN : JVNVU#91545757 JVN : JVNVU#91198149 National Vulnerability Database (NVD) : CVE-2023-1255 ICS-CERT ADVISORY : ICSA-24-046-15
更新履歴
[2023年04月25日] 掲載 [2023年10月04日] ベンダ情報：日立 (hitachi-sec-2023-144) を追加 [2024年02月20日] 参考情報：JVN (JVNVU#91198149) を追加参考情報：ICS-CERT ADVISORY (ICSA-24-046-15) を追加 [2024年05月30日] CVSS による深刻度：内容を更新 CWE による脆弱性タイプ一覧：内容を更新参考情報：National Vulnerability Database (NVD) (CVE-2023-1255) を追加


公表日	2023/04/24
登録日	2023/04/25
最終更新日	2024/05/30

OpenSSL の64ビット ARM 向け AES-XTS 実装における入力バッファ外読み込みの脆弱性 (Security Advisory [20th April 2023])