「XKCP SHA-3」に脆弱性 - 「Python」「PHP」などにも影響
「SHA-3標準(FIPS 202)」にも採択されたKeccakチームが開発する暗号実装「XKCP(eXtended Keccak Code Package) SHA-3」に脆弱性が明らかとなった。「Python」や「PHP」など実装する開発環境も影響を受ける。
スポンジ関数にバッファオーバーフローの脆弱性「CVE-2022-37454」が明らかとなったもの、脆弱性を悪用されると、任意のコードを実行されたり、ハッシュ値の生成などに影響を及ぼすおそれがある。
複数にわけられたデータを処理する際、ひとつあたり約4Gバイトを超えるとバッファオーバーフローが生じるという。開発チームでは脆弱性の重要度を「中(Moderate)」とレーティングしている。
一方、米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度を「クリティカル(Critical)」と評価。Red Hatでは、CVSS基本値についてはNVDと同じく「9.8」としているが、重要度は「中(Moderate)」にとどめ、悪用は難しいと分析している。
調整を経て発見者は、「PoC(実証コード)」を含む脆弱性の詳細を公開した。「Python」「PyPy」「pysha3」「PHP」「Ruby」など、「SHA-3」や「XKCP」を実装する複数の開発言語や実装環境が影響を受けるとしている。
GitHubの「XKCP」リポジトリにて脆弱性を修正するパッチが提供されているほか、入出力を制限するといった回避策がアナウンスされている。また各開発言語や、Linuxディストリビューションにおいても対応を進められている。
(Security NEXT - 2022/11/08 )
ツイート
PR
関連記事
イベント説明会の申込フォームで設定ミス - えどがわボランティアセンター
MDMサーバに不正アクセス、従業員情報が流出 - 三菱オートリース
「Cisco FMC」に深刻な脆弱性 - 認証なしでコマンド実行のおそれ
Cisco、ファイアウォール製品群にアドバイザリ21件を公開
「Apache Tomcat」にアップデート - 脆弱性「MadeYouReset」を解消
「HTTP/2」実装に「MadeYouReset」脆弱性 - DoS攻撃のおそれ
「Exchange Server」のハイブリッド構成に深刻な脆弱性 - MSが定例外アドバイザリ
登録セキスペ試験、2026年度からCBT方式に移行
秘密管理ツール「OpenBao」に脆弱性 - 任意のコード実行が可能に
N-ableのIT管理ツールにゼロデイ脆弱性 - 米当局が悪用に注意喚起
