「OpenSSL」のRSA公開鍵チェックに脆弱性 - SSL/TLS実装に影響なし
「OpenSSL」の開発チームは、脆弱性に関するあらたなアドバイザリをリリースした。現地時間1月9日に「CVE-2023-6129」に関するセキュリティアドバイザリが公開されているが、異なる脆弱性となる。
現地時間1月15日、「CVE-2023-6237」に関するセキュリティアドバイザリをあらたにリリースしたもの。2023年11月に報告を受けた脆弱性で、不正確なRSA公開鍵をチェックする処理に長時間を要するおそれがある。
信頼できないソースより取得した鍵などをチェックするアプリケーションなどで、サービス拒否が生じるおそれがある。
「同3.2.0」「同3.1.4」「同3.0.12」および以前のバージョンに脆弱性は存在するが、SSL/TLSの実装に関しては影響を受けないとしている。
開発チームでは、脆弱性の重要度を4段階中もっとも低い「低(Low)」とレーティングした。ソースリポジトリにおいて修正済みだが、影響は小さいことからアップデートは現段階で用意していない。今後アップデートをリリースするタイミングで今回の修正を反映させる予定。
(Security NEXT - 2024/01/17 )
ツイート
PR
関連記事
MS、11月の月例修正パッチを公開 - ゼロデイ脆弱性にも対応
「Ivanti EPM」にセキュリティアップデート - 脆弱性3件を修正
口座振込通知書を誤送信、データ出力時のミス気付かず - 燕市
地域計画PDFに個人情報 墨塗りでも参照可能 - 小千谷市
国勢調査書類、未回答世帯の訪問時に紛失か - 大野城市
第三者がサーバより情報を窃取、データ暗号化は確認されず - プラ製品メーカー
患者に私的SMS、市立病院医師を懲戒処分 - 三浦市
WatchGuardのVPNクライアントに脆弱性 - Windows版に影響
Drupal向け「OAuth」サーバモジュールに認可バイパスの脆弱性
Samsung製端末、ゼロデイ攻撃の標的に - 商用レベルスパイウェアを悪用か
