OpenSSL に暗号鍵と初期化ベクトルの長さに関する処理の問題 | ScanNetSecurity
2024.07.23(火)

OpenSSL に暗号鍵と初期化ベクトルの長さに関する処理の問題

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は10月25日、OpenSSLにおける暗号鍵と初期化ベクトルの長さに関する処理の問題について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は10月25日、OpenSSLにおける暗号鍵と初期化ベクトルの長さに関する処理の問題について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

OpenSSL 3.1
OpenSSL 3.0

 OpenSSLには、鍵とIV(Initialization Vector)の長さに関する処理に問題があり、一部の共通鍵暗号の初期化時に切り捨てやオーバーフローが発生する可能性があり、鍵やIVの切り捨てが機密性の損失につながったり、オーバーフローによって不正な結果を生成しメモリ例外を引き起こす可能性がある。

 OpenSSLのEVP_EncryptInit_ex2()、 EVP_DecryptInit_ex2()、EVP_CipherInit_ex2()を呼び出す場合に、鍵とIVが確立された後に、提供されたOSSL_PARAM配列が処理されるが、OSSL_PARAM 配列内で、keylenパラメータやivlenパラメータによって鍵の長さやIVの長さを変更しても、意図したとおりに反映されない。

 RC2、RC4、RC5、CCM、GCM、OCBの暗号および暗号化モードが本脆弱性の影響を受ける。

 OpenSSL Projectでは、本脆弱性を修正した下記のバージョンがリリースしている。

OpenSSL 3.0.12
OpenSSL 3.1.4

《ScanNetSecurity》

特集

関連記事

PageTop

アクセスランキング

  1. ランサムウェア集団が謝罪

    ランサムウェア集団が謝罪

  2. 富士通の複数の業務パソコンに高度な手法で攻撃を行うマルウェア、複製指示のコマンドを実行し拡大

    富士通の複数の業務パソコンに高度な手法で攻撃を行うマルウェア、複製指示のコマンドを実行し拡大

  3. 取締役や幹部への罰金 禁固 罷免 解雇 ~ サイバー攻撃後の被処罰最多は APJ 地域

    取締役や幹部への罰金 禁固 罷免 解雇 ~ サイバー攻撃後の被処罰最多は APJ 地域

  4. 日本規格協会、ISO / IEC 27002 の改訂を受け「JIS Q 27002:2024」発行

    日本規格協会、ISO / IEC 27002 の改訂を受け「JIS Q 27002:2024」発行

  5. 世界規模の障害発生 ~ CrowdStrike CEO ジョージ・カーツ 公式コメント

    世界規模の障害発生 ~ CrowdStrike CEO ジョージ・カーツ 公式コメント

ランキングをもっと見る
PageTop