Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「OpenSSL」の「ChaCha20-Poly1305」実装に脆弱性

OpenSSLの開発チームは、認証付き暗号「AEAD(Authenticated Encryption with Associated Data)」である「ChaCha20-Poly1305」の実装に脆弱性が含まれていることを明らかにした。

外部アプリケーションから「OpenSSL」を利用する際、暗号化に用いる「ナンス」で12バイト以上の文字列を設定できるものの、12バイト以降を無視する脆弱性「CVE-2019-1543」が明らかとなったもの。

脆弱性は、「同1.1.1」「同1.1.0」に存在。「同1.0.2」は含まれない。また「SSL/TLS」における処理など、「OpenSSL」を直接利用する場合は「ナンス」に12バイト以上の文字列を用いることはなく、影響を受けないとしている。

重要度は4段階中もっとも低い「低(Low)」とレーティングしており、影響が低いことからアップデートを用意していない。今後の更新で修正されると見られる。

(Security NEXT - 2019/03/11 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

NECの複数ルータ製品に脆弱性 - アップデートがリリース
Pepperl+FuchsやComtrolの制御機器に脆弱性 - ファームウェアの更新を
ルータなどで広く利用されるDNSに脆弱性「DNSpooq」が判明
「Chrome 88.0.4324.96」で36件のセキュ修正 - 深刻な脆弱性も
Oracle、「Java SE」の脆弱性1件を修正
「Java SE」のアップデートが公開、脆弱性8件を解消
Oracle、四半期ごと定例アップデートを公開 - 脆弱性202件に対応
小規模向けの一部Cisco製ルータに深刻な脆弱性 - 更新予定なく利用中止を
医療機関向けデータ管理システムの旧版に深刻な脆弱性
SonicWall製セキュリティアプライアンスに脆弱性