「OpenSSL」の「AES-SIV」実装に脆弱性 - 重要度「低」
「OpenSSL」の開発チームは、セキュリティアドバイザリをリリースし、ソースリポジトリ上で修正を行ったことを明らかにした。
暗号アルゴリズム「AES-SIV」の実装において、アプリケーションが空の関連データエントリを用いた認証を行おうとすると、無視して正しく処理が行われない脆弱性「CVE-2023-2975」が明らかとなったもの。
7月18日の時点で最新版である「同3.1.1」「同3.0.9」および以前のバージョンに脆弱性は存在。「同1.1.1」および「同1.0.2」系は影響を受けない。これまでに同脆弱性の影響を受けるアプリケーションは確認されていないという。
アプリケーションが空の関連データを使用して認証を行なうことはレアケースであるとして、開発チームは、脆弱性の重要度をもっとも低い「低(Low)」とレーティングした。
開発チームでは、ソースリポジトリ上でパッチを公開しているが、重要度が低いことから同脆弱性の修正のみを目的としたアップデートについては用意しない方針。次回以降のアップデートで今回のパッチを反映する予定。
(Security NEXT - 2023/07/18 )
ツイート
関連リンク
PR
関連記事
5月のMS月例パッチが公開 - 複数のゼロデイ脆弱性を修正
「MS Edge」のアップデートが公開 - スクリプトエンジンのゼロデイ脆弱性を解消
Adobe、複数製品にアップデートを公開 - 8製品に「クリティカル」脆弱性
Zoom、セキュリティアドバイザリ2件を公開 - 最新版へ更新を
Fortinetの「FortiOS」に複数脆弱性 - 重要度は「中」
「Adobe Acrobat/Reader」にアップデート - 脆弱性12件を修正
「VMware Workstation」「同Fusion」に脆弱性 - 「クリティカル」も
Apple、「iOS 17.5」などスマートデバイス向けにアップデートを公開
セガ子会社のメールアカウントの侵害、 あらたに3件判明
サーバ管理ソフトウェア「Froxlor」にXSS脆弱性 - 乗っ取りのおそれ