2024年3月13日にOpenSSLの脆弱性情報が公開されました。
対応が必要か検討してください。
OpenSSL Project より、<a href="https://www.openssl.org/news/secadv/20230908.txt" target="blank">OpenSSL Security Advisory [8th September 2023]</a> (POLY1305 MAC implementation corrupts XMM registers on Windows (CVE-2023-4807)) が公開されました。 深刻度 - 低 (Severity: Low) OpenSSL の POLY1305 MAC 実装は、64 バイトを超えるデータの MAC を計算するときに、Windows 64 プラットフォーム上の不揮発性 XMM レジスタの内容を保存しません。呼び出し元に戻る前に、すべての XMM レジスタは以前の内容に復元されず、ゼロに設定されるため、呼び出し側アプリケーションに様々な影響を及ぼす可能性があります。この問題のあるコードは、AVX512-IFMA 命令をサポートする新しい x86_64 プロセッサでのみ使用されます。 また、POLY1305 MAC 実装は、CHACHA20-POLY1305 AEAD (Authenticated Encryption with associated data) アルゴリズムの一部として使用されます。この AEAD 暗号は、一般的に TLS プロトコルバージョン 1.2 および 1.3 で使用され、OpenSSL を使用するサーバーアプリケーションが影響を受ける可能性がありますが、本脆弱性公開時点では、この問題の影響を受けるような具体的なアプリケーションは確認されていないとのことです。 なお、OpenSSL Project は、POLY1305 MAC 実装は FIPS として承認されておらず、FIPS プロバイダはそれを実装していないため、影響を受けないとしています。
製品：OpenSSL
企業：OpenSSL Project
CVSS v2
CVSS v3

参考：CVSSの深刻度レベル

スコア	CVSS v2	CVSS v3
9.0～10.0	危険	緊急
7.0～8.9	危険	重要
4.0～6.9	警告	警告
0.1～3.9	注意	注意
0	注意	なし

JVN JVNDB-2023-003591
https://jvndb.jvn.jp/ja/contents/2023/JVNDB-2023-003591.html
JVN JVNVU#96140980
https://jvn.jp/vu/JVNVU96140980/index.html
JVN JVNVU#98271228
https://jvn.jp/vu/JVNVU98271228/index.html
CVE CVE-2023-4807
https://www.cve.org/CVERecord?id=CVE-2023-4807
NVD CVE-2023-4807
https://nvd.nist.gov/vuln/detail/CVE-2023-4807
ICS-CERT ADVISORY ICSA-23-348-10
https://www.cisa.gov/news-events/ics-advisories/icsa-23-348-10
登録日
2024/03/13 04:51:00
最終更新日
2024/03/13 04:51:00
もっと見る >>