OpenSSLのNID_undefを使用してカスタム暗号を作成した場合、NULL暗号化が発生する可能性があります。 OpenSSL 3.0.0から3.0.5 NID_undefを使用してEVP_CIPHER_meth_new()関数を呼び出し、その後、暗号化/復号化初期化関数の呼び出しを使用するアプリケーションだけが影響を受けます SSL/TLSのみを使用するアプリケーションは、影響を受けません OpenSSL 1.1.1および1.0.2は、本脆弱性の影響を受けないとのことです。 OpenSSL Projectより、OpenSSL Security Advisory [11 October 2022]が公開されました。 OpenSSLには、次の脆弱性が存在します。 深刻度 - 低(Severity: Low) カスタム暗号作成をサポートするEVP_CIPHER_meth_new()関数およ
OpenSSLの開発チームは、アップデートとなる「OpenSSL 3.0.6」をリリースした。脆弱性1件を解消している。 「同3.0」系において「NID_undef」を用いたカスタム暗号を利用すると、NULL暗号化を行い、暗号化されていない平文が出力されるおそれがある脆弱性「CVE-2022-3358」が明らかとなったもの。開発チームは、脆弱性の重要度を4段階中もっとも低い「低(Low)」としている。 開発チームは、同脆弱性やバグに対処した「同3.0.6」をリリースした。「同1.1.1」「同1.0.2」については同脆弱性の影響を受けないとしている。 (Security NEXT - 2022/10/12 ) ツイート
OpenSSL 1.1.0a より前のバージョン OpenSSL 1.0.2i より前のバージョン OpenSSL 1.0.1u より前のバージョン OpenSSL は、次の複数の脆弱性および処理を修正したアップデートをリリースしました。 OCSP Status Request にサービス運用妨害 (DoS) - CVE-2016-6304 (重要度:高) SSL_peek() 関数の呼出し処理にサービス運用妨害 (DoS) - CVE-2016-6305 (重要度:中) ブロック長が 64bit のブロック暗号に対する誕生日攻撃 (Sweet32) への緩和策 - CVE-2016-2183 (重要度:低) MDC2_Update() 関数の呼出し処理にヒープベースのバッファオーバーフロー - CVE-2016-6303 (重要度:低) SHA512 を使用した不正な形式の TLS セッ
「OpenSSL」向けにセキュリティアップデートがリリースされた。4件の脆弱性を解消している。 一部スクリプトにおいて任意のコマンドを実行されるおそれがある「CVE-2022-1292」や、特定の環境下における署名検証時に検証を失敗しても成功したと誤って応答する脆弱性「CVE-2022-1343」など、あわせて4件の脆弱性が明らかとなったもの。 「CVE-2022-1292」「CVE-2022-1343」については、重要度が4段階中、上から3番目にあたる「中(Moderate)」とレーティングされており、のこる「CVE-2022-1434」「CVE-2022-1473」については「低(Low)」とした。 「OpenSSL 3.0」については、いずれも影響があり、「同1.1.1」「同1.0.2」の両系統については「CVE-2022-1292」のみ影響を受ける。サポートが終了した「同1.1.0
CVE-2022-1292 OpenSSL 1.0.2zeより前のバージョン OpenSSL 1.1.1oより前のバージョン OpenSSL 3.0.3より前のバージョン CVE-2022-1343、CVE-2022-1434、CVE-2022-1473 OpenSSL 3.0.3より前のバージョン なお、OpenSSL 1.1.0はサポートが終了しているため、本脆弱性の評価を実施していないとのことです。 OpenSSL Projectより、OpenSSL Security Advisory [03 May 2022]が公開されました。 OpenSSLには、次の脆弱性が存在します。 深刻度 - 中(Severity: Moderate) c_rehashスクリプトにおけるコマンドインジェクション(CWE-77)- CVE-2022-1292 一部のオペレーションシステムにて自動実行されるc
CVE概要(詳細はCVEのサイトをご確認ください)http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-4044libsslにおける無効なX509_verify_cert()のエラーハンドリングの問題重要度 – Moderate対象 – OpenSSL 3.0.0クライアントサイドでサーバーから提供された証明書をチェックする際にlibsslの内部でX509_verify_cert()を呼び出します。この関数は(例えばOut of Memoryなどの)内部エラーの際に負の数を返します。OpenSSLでは、そのような負の数の戻り値の扱いにミスがあり、(SSL_connect()やSSL_do_handshake()などの)IO関数でのindicateで問題が発生し、続くSSL_get_error()がSSL_ERROR_WAIT_RETR
OpenSSL 1.1.1d OpenSSL 1.1.1e OpenSSL 1.1.1f なお開発者によると、OpenSSL 1.0.2、 OpenSSL 1.1.0 は本脆弱性の影響を受けないとのことです。 OpenSSL Project より、OpenSSL Security Advisory [21 April 2020] が公開されました。 深刻度 - 高 (Severity: HIGH) SSL_check_chain 関数におけるセグメンテーション違反 - CVE-2020-1967 TLS 1.3 の signature_algorithms_cert 拡張を処理する際に NULL ポインタ参照が発生するため、ハンドシェイク後の通信において SSL_check_chain() 関数が実行される際に、サーバまたはクライアントアプリケーションがクラッシュする可能性があります。 ア
OpenSSL Project より、OpenSSL Security Advisory [6 December 2019] が公開されました。 深刻度 - 低 (Severity: Low) 512 ビット用モジュールのべき乗計算で使用される Montgomery squaring プロシージャにおけるオーバーフローの問題 - CVE-2019-1551 秘密鍵の情報が窃取される可能性があります。 なお、開発者によると楕円曲線暗号アルゴリズムを用いる場合には本脆弱性の影響は受けないとのことです。 アップデートする [2020年 3月 18日 - 追記] 本脆弱性の修正を含む次のバージョンが提供されています。開発者が提供する情報をもとに、最新版へアップデートしてください。 OpenSSL 1.1.1e パッチを適用する 開発者が提供する情報をもとに、パッチを適用してください。詳しくは、開発
United States Computer Emergency Readiness Team (US-CERT)は2月26日(米国時間)、「OpenSSL Releases Security Update|US-CERT」において、OpenSSLに脆弱性(CVE-2019-1559)が存在すると伝えた。 OpenSSL Project はこの脆弱性の重要度を中 (Moderate) と評価している。公開された情報によると、OpenSSL にはパディングオラクル攻撃が可能な脆弱性があり、悪用されると、遠隔の第三者が通信情報を窃取する可能性があるという。 脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。。 OpenSSL version 1.0.2から1.0.2qまでのバージョン 脆弱性に関する情報は次のページにまとまっている。 OpenSSL Security Adviso
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く