「OpenSSL」のRSA公開鍵チェックに脆弱性 - SSL/TLS実装に影響なし
「OpenSSL」の開発チームは、脆弱性に関するあらたなアドバイザリをリリースした。現地時間1月9日に「CVE-2023-6129」に関するセキュリティアドバイザリが公開されているが、異なる脆弱性となる。
現地時間1月15日、「CVE-2023-6237」に関するセキュリティアドバイザリをあらたにリリースしたもの。2023年11月に報告を受けた脆弱性で、不正確なRSA公開鍵をチェックする処理に長時間を要するおそれがある。
信頼できないソースより取得した鍵などをチェックするアプリケーションなどで、サービス拒否が生じるおそれがある。
「同3.2.0」「同3.1.4」「同3.0.12」および以前のバージョンに脆弱性は存在するが、SSL/TLSの実装に関しては影響を受けないとしている。
開発チームでは、脆弱性の重要度を4段階中もっとも低い「低(Low)」とレーティングした。ソースリポジトリにおいて修正済みだが、影響は小さいことからアップデートは現段階で用意していない。今後アップデートをリリースするタイミングで今回の修正を反映させる予定。
(Security NEXT - 2024/01/17 )
ツイート
PR
関連記事
教員がサポート詐欺被害、NAS内の個人情報が流出か - 山形大付属中
市バスのドラレコ映像が保存されたUSBメモリが所在不明 - 川崎市
がん検診クーポン券に別人の住所、委託事業者のミスで - 横須賀市
個人情報流出の可能性、高負荷から事態を把握 - 楽待
Perl向け暗号ライブラリ「CryptX」に複数脆弱性
監視ソフト「IBM Tivoli Monitoring」にRCE脆弱性 - 早急に更新を
掲示板ツール「vBulletin」に深刻な脆弱性 - 実証コードや悪用も
ZohoのExchange監視ツールに深刻な脆弱性 - アップデートを
委託先で個人情報流出か、セキュリティ監査に虚偽報告 - ソフトバンク
「Wazuh」や「Windows WEBDAV」の脆弱性悪用に注意
