JVNDB-2023-002548
|
OpenSSL の AES-SIV 実装における関連データエントリが正しく認証されない問題 (Security Advisory [14th July 2023])
|
|
OpenSSL Project より、OpenSSL Security Advisory [14th July 2023] (AES-SIV implementation ignores empty associated data entries (CVE-2023-2975)) が公開されました。
深刻度 - 低 (Severity: Low)
OpenSSL の AES-SIV 実装では、複数の関連データ (Associated Data) エントリの認証が可能です。この AES-SIV 実装には、空の関連データエントリの認証要求時にこれを無視し、認証処理を行わず成功を返してしまう問題があります。
なお、OpenSSL Project は、この問題は空でない関連データの認証には影響せず、アプリケーションが空の関連データエントリを使用することは稀であるとしています。
|
|
CVSS v3 による深刻度
基本値: 5.3 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): なし
- 完全性への影響(I): 低
- 可用性への影響(A): なし
|
|
|
OpenSSL Project
- OpenSSL 3.0.0から3.0.9
- OpenSSL 3.1.0から3.1.1
|
OpenSSL 1.1.1 および 1.0.2 は、本脆弱性の影響を受けないとのことです。
|
|
AES-SIV 実装を使用し、空のデータエントリを関連データとして認証するアプリケーションにおいて、空の関連データを含ませることによって正しい認証処理が行われない可能性があります。
|
|
[アップデートする]
開発者による本脆弱性公開時点では、深刻度が低であるため、OpenSSL git リポジトリにて、commit のみを提供していましたが、現地時間 2023年8月1日に本脆弱性を修正した以下のバージョンがリリースされました。
* OpenSSL 3.0.10
* OpenSSL 3.1.2
|
|
OpenSSL Project
|
|
- 不適切な認証(CWE-287) [NVD評価]
|
|
- CVE-2023-2975
|
|
- JVN : JVNVU#92583151
- JVN : JVNVU#92598492
- JVN : JVNVU#91198149
- National Vulnerability Database (NVD) : CVE-2023-2975
- ICS-CERT ADVISORY : ICSA-23-320-13
- ICS-CERT ADVISORY : ICSA-24-046-15
|
|
- [2023年07月20日]
掲載
- [2023年08月03日]
対策:内容を更新
ベンダ情報:OpenSSL Project (OpenSSL 3.0 Series Release Notes) を追加
ベンダ情報:OpenSSL Project (OpenSSL 3.1 Series Release Notes) を追加
- [2023年11月22日]
参考情報:JVN (JVNVU#92598492) を追加
参考情報:ICS-CERT ADVISORY (ICSA-23-320-13) を追加
- [2024年02月20日]
参考情報:JVN (JVNVU#91198149) を追加
参考情報:ICS-CERT ADVISORY (ICSA-24-046-15) を追加
- [2024年03月18日]
CVSS による深刻度:内容を更新
CWE による脆弱性タイプ一覧:内容を更新
|
