検出

Amazon Linux 2023: openssl、openssl-devel、openssl-fips-provider-latest (ALAS2023-2026-1522)

high Nessus プラグイン ID 304598

Language:

概要

リモートの Amazon Linux 2023 ホストに、セキュリティ更新プログラムがありません。

説明

したがって、ALAS2023-2026-1522 のアドバイザリに記載されている脆弱性の影響を受けます。

 問題のサマリー: OpenSSL TLS 1.3 サーバーが、鍵交換グループ構成に「DEFAULT」キーワードを使用するデフォルトが含まれる場合、期待される優先鍵交換グループのネゴシエートに失敗する可能性があります。影響のサマリーより優先されるグループがクライアントとサーバーの両方でサポートされているときでも、グループがクライアントの初期の事前鍵共有に含まれていない場合は、より優先されない鍵交換が使用される可能性があります。クライアントがサーバーから特にリクエストされるまで使用を延期することを選択した場合、これは新しいハイブリッド耐量子グループで生じる可能性があります。OpenSSL TLS 1.3 サーバーの設定が「DEFAULT」キーワードを使用して組み込みデフォルトグループリストを独自の設定に内在する場合、特定の要素を追加または削除すると、実装の欠陥により「DEFAULT」リストが「tuple」構造を失い、サーバーでサポートされるすべてのグループは単一の十分に安全な「tuple」として扱われ、もっと優先される tuple のグループが相互にサポートされている場合でも、サーバーは Hello Retry Request (HRR) を送信しませんでした。結果として、クライアントの設定が「従来の」グループのみとなる場合 (「X25519」が唯一のクライアントの初期鍵共有予測の場合など)、「X25519MLKEM768」などの相互にサポートされる耐量子鍵の合意グループのネゴシエートに失敗する可能性があります。
 OpenSSL 3.5 以降は、TLS サーバーで最も優先される TLS 1.3 キー合意グループを選択するための新しい構文をサポートします。古い構文には、単一の「フラット」なグループのリストがあり、サポートされるすべてのグループを十分に安全であるものとして処理していました。クライアントによって予測される鍵共有のいずれかがサーバーによってサポートされている場合、これらのグループのうち最も優先されるグループが選択されます。予測される鍵共有のリストに含まれていない優先度の高い鍵よりも、予測される鍵共有のリストに含まれている優先度の低い予測鍵が選択されることになります。新しい構文は、グループをほぼ同じセキュリティの異なる「tuples」に分割します。各 tuple 内では、クライアントの予測される鍵共有に含まれる最も優先されるグループが選択されます。しかし、クライアントがより優先される tuple からのグループをサポートするものの対応する鍵共有を予測しなかった場合、サーバーはクライアントに最も優先される相互に合ポートされるグループを使用して ClientHello を再試行するよう (Hello Retry Request または HRR を発行して) 要求します。サーバーの設定が組み込みのデフォルトグループリストを使用するか、さまざまな対象グループとグループ「tuples」を直接定義して独自のリストを明示的に定義する場合、上記のものは想定通りに動作します。OpenSSL FIPS モジュールはこの問題の影響を受けず、問題のコードは FIPS 境界外にあります。
 OpenSSL 3.6 および 3.5 は、この問題に対して脆弱ではありません。OpenSSL 3.6 ユーザーは、OpenSSL 3.6.2 がリリースされたらアップグレードする必要があります。OpenSSL 3.5 ユーザーは、OpenSSL 3.5.6 がリリースされたらアップグレードする必要があります。OpenSSL 3.4、3.3、3.0、1.0.2、1.1.1 もこの問題の影響を受けません。(CVE-2026-2673)

Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

「dnf update openssl --releasever 2023.10.20260330」または「dnf update --advisory ALAS2023-2026-1522 --releasever 2023.10.20260330」を実行してシステムを更新してください。

参考資料

https://alas.aws.amazon.com//AL2023/ALAS2023-2026-1522.html

https://alas.aws.amazon.com/faqs.html

https://explore.alas.aws.amazon.com/CVE-2026-2673.html

プラグインの詳細

深刻度: High

ID: 304598

ファイル名: al2023_ALAS2023-2026-1522.nasl

バージョン: 1.2

タイプ: Local

エージェント: unix

公開日: 2026/4/1

更新日: 2026/4/10

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: High

基本値: 7.8

現状値: 5.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N

CVSS スコアのソース: CVE-2026-2673

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:amazon:linux:openssl-debugsource, p-cpe:/a:amazon:linux:openssl-perl, p-cpe:/a:amazon:linux:openssl-fips-provider-latest-debuginfo, p-cpe:/a:amazon:linux:openssl-snapsafe-libs-debuginfo, p-cpe:/a:amazon:linux:openssl-snapsafe-libs, p-cpe:/a:amazon:linux:openssl-libs-debuginfo, p-cpe:/a:amazon:linux:openssl-devel, p-cpe:/a:amazon:linux:openssl-fips-provider-latest, p-cpe:/a:amazon:linux:openssl-debuginfo, p-cpe:/a:amazon:linux:openssl, cpe:/o:amazon:linux:2023, p-cpe:/a:amazon:linux:openssl-libs

必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2026/4/1

脆弱性公開日: 2026/3/13

参照情報

CVE: CVE-2026-2673

IAVA: 2026-A-0308