JVNDB-2023-004189
|
OpenSSL における暗号鍵と初期化ベクトルの長さに関する処理の問題(OpenSSL Security Advisory [24th October 2023])
|
|
OpenSSL Project より、OpenSSL Security Advisory [24th October 2023] が公開されました。
深刻度 - 中(Severity: Moderate)
OpenSSL には、鍵と IV (Initialization Vector)の長さに関する処理に問題があり、一部の共通鍵暗号の初期化時に切り捨てやオーバーフローが発生する可能性があります。
OpenSSL の EVP_EncryptInit_ex2() 、 EVP_DecryptInit_ex2() 、または EVP_CipherInit_ex2() を呼び出す場合、鍵と IV が確立された後に、提供された OSSL_PARAM 配列が処理されますが、OSSL_PARAM 配列内で、keylen パラメータや ivlen パラメータによって鍵の長さや IV の長さを変更しても、意図したとおりに反映されません。
RC2、RC4、RC5、CCM、GCM、OCB の暗号および暗号化モードが本脆弱性の影響を受けます。
なお、OpenSSL Project は、OpenSSL SSL/TLS 実装および、OpenSSL 3.0 と 3.1 の FIPS プロバイダは本脆弱性の影響を受けないとしています。
|
|
CVSS v3 による深刻度
基本値: 7.5 (重要) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): なし
- 可用性への影響(A): なし
|
|
|
OpenSSL Project
|
|
|
鍵や IV の切り捨てが機密性の損失につながったり、オーバーフローによって不正な結果を生成しメモリ例外を引き起こす可能性があります。
|
|
[アップデートする]
本脆弱性を修正した以下のバージョンがリリースされました。
* OpenSSL 3.0.12
* OpenSSL 3.1.4
|
|
OpenSSL Project
|
|
- 情報不足(CWE-noinfo) [NVD評価]
|
|
- CVE-2023-5363
|
|
- JVN : JVNVU#99631663
- National Vulnerability Database (NVD) : CVE-2023-5363
|
|
- [2023年10月26日]
掲載
- [2024年05月07日]
CVSS による深刻度:内容を更新
CWE による脆弱性タイプ一覧:内容を更新
参考情報:National Vulnerability Database (NVD) (CVE-2023-5363) を追加
|
