OpenSSLの脆弱性情報(Low: CVE-2023-3817)と修正バージョン(OpenSSL 3.1.3 / 3.0.11 / 1.1.1w)

09/08/2022 (JST) にOpenSSLの脆弱性情報(Low: CVE-2023-3817)が公開されています。こちらはLowでかつWindowsのみが対象となっていますが、念の為こちらの脆弱性の概要を簡単にまとめてみます。

(2023/09/19追記：修正バージョンとしてOpenSSL 3.1.3 / 3.0.11 / 1.1.1wが出ています)

[過去関連リンク(最新5件)]

• OpenSSLの脆弱性情報(Low: CVE-2023-3817, CVE-2023-3446)と新バージョン(3.1.2, 3.0.10, 1.1.1v)リリース
• OpenSSLの脆弱性情報(Moderate: CVE-2023-2650)
• OpenSSLの脆弱性情報(Low: CVE-2023-0465, CVE-2023-0466)
• OpenSSLの脆弱性情報(Low: CVE-2023-0464)
• OpenSSLの脆弱性情報(High: CVE-2023-4807, Moderate: CVE-2022-4203, CVE-2022-4304, CVE-2022-4450, CVE-2023-0215, CVE-2023-0216, CVE-2023-0217, CVE-2023-0401)と新バージョン(3.0.8, 1.1.1t)
• OpenSSLの脆弱性情報(Low: CVE-2022-3996)
• OpenSSLの脆弱性情報(High: CVE-2022-3786, CVE-2022-3602)と新バージョン(3.0.7, 1.1.1s)

一次情報源

• https://www.openssl.org/news/vulnerabilities.html
• https://www.openssl.org/news/secadv/20230908.txt

CVSS/プライオリティ

• CVE-2023-4807
• 影響するバージョン
  • (Windowsのみ) OpenSSL 3.1.0-3.1.2, 3.0.0-3.0.10, 1.1.1-1.1.1v
• Priority
  • Vendor: Low
• CVSS Score / CVSS Vector
  • N/A

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-4807
  • POLY1305 MAC実装がWindows上のXMMレジスタを破壊する問題(CVE-2023-4807)
  • 重要度 – Low
  • 対象 – OpenSSL 3.1.0-3.1.2, 3.0.0-3.0.10, 1.1.1-1.1.1v
  • POLY1305 MAC (message authentication code: メッセージ認証コード)の実装に問題があり、AVX512-IFMA命令をサポートするX86_64プロセッサで実行した際に、Windows 64 プラットフォーム上のアプリケーションの内部状態が破壊される可能性があります。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

• Debian
  • N/A
• Red Hat Enterprise Linux/CentOS
  • N/A
• Ubuntu
  • N/A
• SUSE/openSUSE
  • N/A

対処方法

Windows上でのOpenSSLを新しいものに更新しましょう。

[参考]

• https://www.openssl.org/news/vulnerabilities.html
• https://www.openssl.org/news/secadv/20230908.txt