「OpenSSL」のRSA公開鍵チェックに脆弱性 - SSL/TLS実装に影響なし
「OpenSSL」の開発チームは、脆弱性に関するあらたなアドバイザリをリリースした。現地時間1月9日に「CVE-2023-6129」に関するセキュリティアドバイザリが公開されているが、異なる脆弱性となる。
現地時間1月15日、「CVE-2023-6237」に関するセキュリティアドバイザリをあらたにリリースしたもの。2023年11月に報告を受けた脆弱性で、不正確なRSA公開鍵をチェックする処理に長時間を要するおそれがある。
信頼できないソースより取得した鍵などをチェックするアプリケーションなどで、サービス拒否が生じるおそれがある。
「同3.2.0」「同3.1.4」「同3.0.12」および以前のバージョンに脆弱性は存在するが、SSL/TLSの実装に関しては影響を受けないとしている。
開発チームでは、脆弱性の重要度を4段階中もっとも低い「低(Low)」とレーティングした。ソースリポジトリにおいて修正済みだが、影響は小さいことからアップデートは現段階で用意していない。今後アップデートをリリースするタイミングで今回の修正を反映させる予定。
(Security NEXT - 2024/01/17 )
ツイート
PR
関連記事
「SecHack365」の成果発表会、都内で2月28日に開催
公務員採用試験受験者の個人情報含む書類が所在不明 - 人事院
クラウドに不正アクセス、個人情報流出の可能性 - マイナビ
ファイル転送製品「FileZen」にRCE脆弱性 - すでに悪用被害も
JNSA、SecBoK人材スキルマップ2025年度版を公開 - 15の役割に再編
リフト券システムがランサム被害、個人情報流出の可能性 - ガーラ湯沢
手荷物配送サービス予約システムに攻撃、個人情報流出の可能性 - JAL
「SandboxJS」に脆弱性 - 1月下旬以降「クリティカル」7件目
「SandboxJS」に新たなクリティカル脆弱性4件 - 修正実施
「SolarWinds WHD」など4製品の脆弱性悪用に注意喚起 - 米当局
