「OpenSSL」にタイミング攻撃の脆弱性 - 今後のリリースで修正予定

「OpenSSL」の開発チームは、タイミングサイドチャネル攻撃により、秘密鍵が漏洩するおそれがある脆弱性について明らかにした。今後のアップデートで修正する予定。

「ECDSA署名計算」の過程で発生するタイミング信号に起因する脆弱性「CVE-2024-13176」が判明したもの。「NIST P-521曲線」を使用し、特定条件を満たした場合に秘密鍵の推測が可能になるという。

ただし、攻撃を展開するには攻撃者が同一の物理マシン上でプロセスを実行するか、リモートより低レイテンシーの高速なネットワーク接続が必要としており、開発チームでは脆弱性の重要度を「低（Low）」とレーティングした。

開発チームでは、ソースリポジトリ上で修正を実施。今回のアドバイザリをリリースしたタイミングで同脆弱性を修正するアップデートは提供せず、今後リリースするアップデートに修正を反映するとしている。

（Security NEXT - 2025/01/23 ） ツイート

PR

関連記事

Apple、「iOS 16/15」向けにセキュリティ更新 - 悪用脆弱性を解消
Adobe、複数製品向けにアップデート - 深刻な脆弱性を修正
Adobe、11製品にセキュリティ更新 - 「クリティカル」脆弱性など修正
「AdGuard Home」に深刻な脆弱性 - 修正版が公開
GitLab、セキュリティアップデートを公開 - 脆弱性15件に対応
Veeam製バックアップ管理ソフトに深刻な脆弱性 - アップデートが公開
前回更新から2日で「Chrome」がアップデート - ゼロデイ脆弱性を緊急修正
ワークフローツール「n8n」の脆弱性悪用に注意喚起 - 米CISA
会議ツール「Zoom」Windows向けクライアントに深刻な脆弱性
米当局、「Cisco SD-WAN」攻撃対応の緊急指令を更新