10/25/2023 (JST) にOpenSSLの脆弱性情報(Moderate: CVE-2023-5363)と修正バージョン(OpenSSL 3.1.4 / 3.0.12)が公開されています。こちらの脆弱性の概要を簡単にまとめてみます。
[過去関連リンク(最新5件)]
- OpenSSLの脆弱性情報(Low: CVE-2023-3817)と修正バージョン(OpenSSL 3.1.3 / 3.0.11 / 1.1.1w)
- OpenSSLの脆弱性情報(Low: CVE-2023-3817, CVE-2023-3446)と新バージョン(3.1.2, 3.0.10, 1.1.1v)リリース
- OpenSSLの脆弱性情報(Moderate: CVE-2023-2650)
- OpenSSLの脆弱性情報(Low: CVE-2023-0465, CVE-2023-0466)
- OpenSSLの脆弱性情報(Low: CVE-2023-0464)
- OpenSSLの脆弱性情報(High: CVE-2023-4807, Moderate: CVE-2022-4203, CVE-2022-4304, CVE-2022-4450, CVE-2023-0215, CVE-2023-0216, CVE-2023-0217, CVE-2023-0401)と新バージョン(3.0.8, 1.1.1t)
一次情報源
CVSS/プライオリティ
- CVE-2023-5363
- 影響するバージョン
- OpenSSL 3.1, 3.0
- Priority
- Vendor: Moderate
- CVSS Score / CVSS Vector
- Red Hat: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
- 影響するバージョン
修正方法
各ディストリビューションの情報を確認してください。
CVE概要(詳細はCVEのサイトをご確認ください)
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-5363
- 暗号化キーと初期化ベクトル(IV)長処理の問題(CVE-2023-5363)
- 重要度 – Moderate
- 対象 – OpenSSL 3.1.0-3.1.3, 3.0.0-3.0.13
- 鍵と初期化ベクトル(IV)長を処理する箇所にバグが見つかりました。これにより幾つかの共通鍵暗号の初期化中に切り捨てや超過が発生する可能性があります。 EVP_EncryptInit_ex2(), EVP_DecryptInit_ex2(), EVP_CipherInit_ex2()を呼び出す時には、鍵とIVが確立された後に、与えられたOSSL_PARAM配列が処理されます。 OSSSL_PARAM 配列内の”keylen”変数によるキー長、または”ivlen”変数によるIV長の変更が意図したとおりに反映されず、これらの値の切り捨てや超過が発生する可能性があります。 RC2,RC4,RC5,CCM,GCM,OCBの暗号と暗号モードが影響を受けます。CCM,GCM,OCB暗号モードの場合には、IVの切り捨てにより機密性が失われる可能性があります。 キーの切り捨てと超過、IVの超過は場合によってはメモリ例外を発生させる可能性があります。ただし現在の所、これらはCriticalであるとは評価されていません。
主なディストリビューションの対応方法
詳細は、各ディストリビューションの提供元にご確認ください
- Debian
- Red Hat Enterprise Linux/CentOS
- Ubuntu
- SUSE/openSUSE
対処方法
各ディストリビューションの案内に従い、アップデートを行ってください。
