「XKCP SHA-3」に脆弱性 - 「Python」「PHP」などにも影響
「SHA-3標準(FIPS 202)」にも採択されたKeccakチームが開発する暗号実装「XKCP(eXtended Keccak Code Package) SHA-3」に脆弱性が明らかとなった。「Python」や「PHP」など実装する開発環境も影響を受ける。
スポンジ関数にバッファオーバーフローの脆弱性「CVE-2022-37454」が明らかとなったもの、脆弱性を悪用されると、任意のコードを実行されたり、ハッシュ値の生成などに影響を及ぼすおそれがある。
複数にわけられたデータを処理する際、ひとつあたり約4Gバイトを超えるとバッファオーバーフローが生じるという。開発チームでは脆弱性の重要度を「中(Moderate)」とレーティングしている。
一方、米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度を「クリティカル(Critical)」と評価。Red Hatでは、CVSS基本値についてはNVDと同じく「9.8」としているが、重要度は「中(Moderate)」にとどめ、悪用は難しいと分析している。
調整を経て発見者は、「PoC(実証コード)」を含む脆弱性の詳細を公開した。「Python」「PyPy」「pysha3」「PHP」「Ruby」など、「SHA-3」や「XKCP」を実装する複数の開発言語や実装環境が影響を受けるとしている。
GitHubの「XKCP」リポジトリにて脆弱性を修正するパッチが提供されているほか、入出力を制限するといった回避策がアナウンスされている。また各開発言語や、Linuxディストリビューションにおいても対応を進められている。
(Security NEXT - 2022/11/08 )
ツイート
PR
関連記事
「Apache OFBiz」や「.NET Framework」の脆弱性悪用に注意
Veeamのクラウド向けアプライアンスに脆弱性 - 更新状況の確認を
「Chrome 133」がリリース - 12件のセキュリティ修正を実施
高校でテスト結果一覧表を誤配付、複数生徒がSNS投稿 - 静岡県
ウェブサイトに職員の個人情報を誤掲載 - 山都町
Teamsで設定ミス、個人情報含むファイルがチーム外から閲覧可能に - 芸工大
アクセス管理製品「PrivX」に脆弱性 - アップデートで修正
医療機関の届出書類が所在不明、袖机ごと廃棄か - 東京都
ゲスト登録システムで不具合 - 愛知県のスタートアップ支援拠点
他顧客情報をウェブで誤表示、設計ミスで - ジブラルタ生命