「XKCP SHA-3」に脆弱性 - 「Python」「PHP」などにも影響
「SHA-3標準(FIPS 202)」にも採択されたKeccakチームが開発する暗号実装「XKCP(eXtended Keccak Code Package) SHA-3」に脆弱性が明らかとなった。「Python」や「PHP」など実装する開発環境も影響を受ける。
スポンジ関数にバッファオーバーフローの脆弱性「CVE-2022-37454」が明らかとなったもの、脆弱性を悪用されると、任意のコードを実行されたり、ハッシュ値の生成などに影響を及ぼすおそれがある。
複数にわけられたデータを処理する際、ひとつあたり約4Gバイトを超えるとバッファオーバーフローが生じるという。開発チームでは脆弱性の重要度を「中(Moderate)」とレーティングしている。
一方、米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度を「クリティカル(Critical)」と評価。Red Hatでは、CVSS基本値についてはNVDと同じく「9.8」としているが、重要度は「中(Moderate)」にとどめ、悪用は難しいと分析している。
調整を経て発見者は、「PoC(実証コード)」を含む脆弱性の詳細を公開した。「Python」「PyPy」「pysha3」「PHP」「Ruby」など、「SHA-3」や「XKCP」を実装する複数の開発言語や実装環境が影響を受けるとしている。
GitHubの「XKCP」リポジトリにて脆弱性を修正するパッチが提供されているほか、入出力を制限するといった回避策がアナウンスされている。また各開発言語や、Linuxディストリビューションにおいても対応を進められている。
(Security NEXT - 2022/11/08 )
ツイート
PR
関連記事
「FortiClient EMS」に深刻な脆弱性、すでに悪用 - ホットフィクス適用を
委託事業者間でデータ誤送信、ファイル内に無関係の個人情報 - 大阪市
サーバに不正アクセス、影響など調査中 - ムーンスター
県内14警察署で文書誤廃棄、DVやストーカー関連も - 宮城県警
委託先で調査関連データ含むUSBメモリが所在不明 - 精華町
NEC製ルータ「Aterm」シリーズに脆弱性 - 21モデルに影響
予約管理システムの管理者アカウントに不正アクセス - ホテルプリンセス京都
2027年度に情報処理技術者試験を再編、「データマネジメント試験」新設へ
「Cisco IMC」に複数の脆弱性 - 管理者権限を奪われるおそれも
ビデオ会議ツール「TrueConf」にゼロデイ攻撃 - アップデート機能に脆弱性
