JVNDB-2024-017357

OpenSSL における秘密鍵のタイミング攻撃に対する問題 (OpenSSL Security Advisory [20th January 2025])

OpenSSL Project より、OpenSSL Security Advisory [20th January 2025] ("Timing side-channel in ECDSA signature computation (CVE-2024-13176)") が公開されました。

深刻度−低 (Severity：Low)
OpenSSL における ECDSA 署名計算には、秘密鍵が復元される可能性のあるタイミング攻撃に対する問題 (CWE-385、CVE-2024-13176) が報告されています。
ただし、本問題を悪用するには、署名アプリケーションへのローカルアクセスまたは低レイテンシの高速ネットワーク接続が必須となるため、深刻度は低となっています。

OpenSSL Project

• OpenSSL 3.4.1 より前の 3.4 系バージョン
• OpenSSL 3.3.3 より前の 3.3 系バージョン
• OpenSSL 3.2.4 より前の 3.2 系バージョン
• OpenSSL 3.1.8 より前の 3.1 系バージョン
• OpenSSL 3.0.16 より前の 3.0 系バージョン
• OpenSSL 1.1.1zb より前の 1.1.1 系バージョン
• OpenSSL 1.0.2zl より前の 1.0.2 系バージョン

秘密鍵を復元される可能性があります。

[アップデートする]
開発者は本脆弱性を修正した以下バージョンをリリースしました。
　* OpenSSL 3.4.1 (3.4系ユーザー向け)
　* OpenSSL 3.3.3 (3.3系ユーザー向け)
　* OpenSSL 3.2.4 (3.2系ユーザー向け)
　* OpenSSL 3.1.8 (3.1系ユーザー向け)
　* OpenSSL 3.0.16 (3.0系ユーザー向け)
　* OpenSSL 1.1.1zb (1.1.1系ユーザー向け)
　* OpenSSL 1.0.2zl (1.0.2系ユーザー向け)

OpenSSL Project

• GitHub : github.com: 3.3.4 git commit 77c608f
• GitHub : github.com: 3.3.3 git commit 392dcb3
• GitHub : github.com: 3.2.4 git commit 4b1cb94
• GitHub : github.com: 3.1.8 git commit 2af62e7
• GitHub : github.com: 3.0.16 git commit 07272b0
• GitHub : github.openssl.org: 1.1.1zb git commit a263900（要ログイン）
• GitHub : github.openssl.org: 1.0.2zl git commit 0d5fd1a（要ログイン）
• OpenSSL Project : OpenSSL Security Advisory [20th January 2025]

1. データの信頼性についての不十分な検証(CWE-345) [その他]

1. CVE-2024-13176

1. JVN : JVNVU#95772889

• [2025年01月24日]
    掲載