JVNDB-2024-001003
|
OpenSSL における POLY1305 MAC 実装不備の問題(Security Advisory [9th January 2024])
|
|
OpenSSL Projectより、OpenSSL Security Advisory [9th January 2024]("POLY1305 MAC implementation corrupts vector registers on PowerPC (CVE-2023-6129")) が公開されました。
深刻度 - 低 (Severity: Low)
PowerISA 2.07 命令をサポートする PowerPC プロセッサ用の OpenSSL の POLY1305 MAC (メッセージ認証コード) 実装は、ベクトルレジスタに保存された値の復元処理に問題があり、アプリケーション内部状態の破損を招くことがあります。
なお、POLY1305 MAC アルゴリズムは FIPS に準拠していないため、FIPS プロバイダは本脆弱性を含むコードを実装しておらず、影響を受けません。
|
|
CVSS v3 による深刻度
基本値: 6.5 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 高
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): なし
- 完全性への影響(I): 低
- 可用性への影響(A): 高
|
|
|
OpenSSL Project
- OpenSSL 3.0.0 から 3.0.12
- OpenSSL 3.1.0 から 3.1.4
- OpenSSL 3.2.0
|
OpenSSL 1.1.1 および 1.0.2 は本脆弱性の影響を受けません。
なお、本脆弱性を含むコードは、PowerISA 2.07 命令をサポートする PowerPC プロセッサでのみ動作するものです。
|
|
アプリケーションの内部状態が破損することにより種々の影響が生じます。最悪の場合、攻撃者によりアプリケーションが完全に制御される可能性がありますが、より可能性が高い影響としては、計算結果の誤りやサービス運用妨害(DoS)状態となることが挙げられます。
|
|
[アップデートする]
開発者による本脆弱性公開時点では、深刻度が低であるため、OpenSSL git リポジトリにて、commit のみを提供していましたが、現地時間 2024 年 1 月 30 日に本脆弱性を修正した以下のバージョンがリリースされました。
* OpenSSL 3.2.1
* OpenSSL 3.1.5
* OpenSSL 3.0.13
|
|
OpenSSL Project
|
|
- 境界外書き込み(CWE-787) [NVD評価]
|
|
- CVE-2023-6129
|
|
- JVN : JVNVU#98269979
- JVN : JVNVU#96191615
- JVN : JVNVU#95962757
- National Vulnerability Database (NVD) : CVE-2023-6129
- ICS-CERT ADVISORY : ICSA-24-319-04
- ICS-CERT ADVISORY : ICSA-24-319-08
- ICS-CERT ADVISORY : ICSA-25-044-09
|
|
- [2024年01月11日]
掲載
- [2024年02月06日]
ベンダ情報:内容を更新
対策:内容を更新
参考情報:National Vulnerability Database (NVD) (CVE-2023-6129) を追加
CVSS による深刻度:内容を更新
- [2024年11月18日]
参考情報:JVN (JVNVU#96191615) を追加
参考情報:ICS-CERT ADVISORY (ICSA-24-319-04) を追加
参考情報:ICS-CERT ADVISORY (ICSA-24-319-08) を追加
- [2025年02月18日]
参考情報:JVN (JVNVU#95962757) を追加
参考情報:ICS-CERT ADVISORY (ICSA-25-044-09) を追加
|
