「OpenSSL」のRSA公開鍵チェックに脆弱性 - SSL/TLS実装に影響なし

「OpenSSL」の開発チームは、脆弱性に関するあらたなアドバイザリをリリースした。現地時間1月9日に「CVE-2023-6129」に関するセキュリティアドバイザリが公開されているが、異なる脆弱性となる。

現地時間1月15日、「CVE-2023-6237」に関するセキュリティアドバイザリをあらたにリリースしたもの。2023年11月に報告を受けた脆弱性で、不正確なRSA公開鍵をチェックする処理に長時間を要するおそれがある。

信頼できないソースより取得した鍵などをチェックするアプリケーションなどで、サービス拒否が生じるおそれがある。

「同3.2.0」「同3.1.4」「同3.0.12」および以前のバージョンに脆弱性は存在するが、SSL/TLSの実装に関しては影響を受けないとしている。

開発チームでは、脆弱性の重要度を4段階中もっとも低い「低（Low）」とレーティングした。ソースリポジトリにおいて修正済みだが、影響は小さいことからアップデートは現段階で用意していない。今後アップデートをリリースするタイミングで今回の修正を反映させる予定。

（Security NEXT - 2024/01/17 ） ツイート

PR

関連記事

課税調査中に個人情報含む資料を紛失 - 京都市
自治体向け資料に個人情報、図関連データとして内包 - 兵庫県
事務局内情報共有サイト、アクセス制限なく情報流出 - 岩手県
中等教育学校で受験生資料含むUSBメモリを紛失 - 新潟県
「WatchGuard Firebox」に脆弱性 - ゼロデイ攻撃が発生、更新や痕跡調査を
不正アクセスでトップページ改ざん、外部サイトへ遷移 - 文字起こしサービス会社
図書館サーバからスパム送信、更新時の未承認設定変更が影響 - 岡山県
まもなく年末年始、長期休暇前にセキュリティ総点検を
「Apache StreamPark」に暗号化などの脆弱性3件が判明
「OpenShift GitOps」に権限昇格の脆弱性 - クラスタ掌握のおそれ