独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は1月10日、OpenSSLにおけるPOLY1305 MAC実装不備の問題について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
OpenSSL 3.0.0 から 3.0.12
OpenSSL 3.1.0 から 3.1.4
OpenSSL 3.2.0
※OpenSSL 1.1.1および1.0.2は本脆弱性の影響を受けない
PowerISA 2.07命令をサポートするPowerPCプロセッサ用のOpenSSLのPOLY1305 MAC(メッセージ認証コード)実装には、ベクトルレジスタに保存された値の復元処理に問題があり、アプリケーション内部状態の破損を招くことがあり、最悪の場合、攻撃者によりアプリケーションが完全に制御される可能性がある。また想定される影響として、より可能性が高いのは、計算結果の誤りやサービス運用妨害(DoS)状態となることが挙げられる。
OpenSSL Project では2024年1月10日現在、本脆弱性の修正を目的としたバージョンを提供しておらず、OpenSSL gitリポジトリで以下の修正commitが行われている。OpenSSL Projectでは、次回のリリースでこれらを反映するとのこと。
commit 5b139f95(3.2系)
commit f3fc5808(3.1系)
commit 050d263(3.0系)
