Amazon Linux 2023: openssl、openssl-devel、openssl-fips-provider-latest (ALAS2023-2026-1853)

critical Nessus プラグイン ID 322070

概要

リモートの Amazon Linux 2023 ホストに、セキュリティ更新プログラムがありません。

説明

したがって、ALAS2023-2026-1853 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

問題のサマリー: 細工された DER エンコードの ASN.1 構造体を、コンテンツの長さが 2 GB を超えるプリミティブ要素で解析すると、64 ビット Unix および Unix ライクなプラットフォームでヒープバッファのオーバーリードが発生する可能性があります。

影響のサマリー: ヒープバッファのオーバーリードにより、アプリケーションがクラッシュ (サービス拒否) したり、デコードされた ASN.1 オブジェクトにおいて入力バッファの終端を超えたメモリ内容を読み込んでしまったりする可能性があります。より一般的には、そのような ASN.1 要素は切り詰められます。

OpenSSL の ASN.1 デコーダーにおける整数の切り詰めにより、ASN.1 プリミティブ要素のコンテンツ長が 2 GB を超えた場合に、そのコンテンツ長が不適切に処理されます。最悪の場合、切り詰められた長さはバイナリコンテンツ内の終端ゼロバイトを探索するためのリクエストとして扱われ、その結果、OpenSSL が割り当て済みバッファの終端より手前、またはそれを超えて読み取る可能性があります。

攻撃者が指定したデータを d2i_X509() や d2i_PKCS7()、またはその他の d2i_* デコード関数に渡すアプリケーションは影響を受けます。OpenSSL のコマンドラインツール自体は脆弱ではありません。これは、BIO レイヤーを通じて読み取られたデータが、影響を受けるコードに到達する前に検査されるためです。この問題の影響を受けるのは 64 ビット Unix および Unix ライクなプラットフォームのみです。32 ビットプラットフォームおよび 64 ビット Windows は影響を受けません。

4.0、3.6、3.5、3.4、3.0 の FIPS モジュールは、この問題による影響を受けません。これは、影響を受けるコードが OpenSSL FIPS モジュール境界の外部にあるためです。(CVE-2026-34180)

問題のサマリー: PKCS#12 ファイルの処理では、Password-Based Message Authentication Code 1 (PBMAC1) 整合性メカニズムを使用するファイルに対して十分な入力検証が実行されず、証明書および秘密鍵の偽造が可能になります。

影響のサマリー: ユーザーになりすます攻撃者が、サービス readingPKCS#12 ファイルに対して、256 分の 1 の確率で偽造された証明書および秘密鍵を受け入れさせる可能性があります。

サービスが PKCS#12 ファイルを受け入れる際に受信したファイルの認証にパスワードを使用している場合、攻撃者は PBMAC1 認証を使用し、HMAC キーをわずか 1 バイトで指定する暗号化されていない PKCS#12 ファイルを作成する可能性があります。これにより、256 分の 1 の確率で受け入れられるファイルを作成できます。その結果、サービスは攻撃者が制御する証明書および秘密鍵を受け入れることになります。

FIPS モジュールは、この問題による影響を受けません。これは、影響を受けるコードが OpenSSL FIPS モジュール境界の外部にあるためです。(CVE-2026-34181)

問題のサマリー: Cryptographic Message Services (CMS) の処理では、AuthEnvelopedData コンテナの暗号およびタグ長フィールドに対して十分な入力検証が実行されず、さまざまな侵害につながる可能性があります。

影響のサマリー: 攻撃者がこれらの脆弱性を悪用した場合、特定の CMS 受信者に対してキーと同等の機能を取得したり、特定のメッセージの整合性検証をバイパスしたりする可能性があります。

あるユースケースでは、攻撃者が暗号を非 AEAD 暗号として指定した AuthEnvelopedData を含む CMS メッセージを送信する可能性があります。OpenSSL は誤ってこの選択を許可し、メッセージの復号および検証を試みます。

オンパスの攻撃者が、被害者宛ての正当な AES-GCM AuthEnvelopedData を 1 つキャプチャし、recipientInfos セットをバイト単位でそのまま維持した状態で再送信できます。その結果、被害者の秘密鍵は依然として正当な CEK (コンテンツ暗号化キー) をアンラップしますが、内部 OID は AES-256-OFB (Output Feedback Mode、認証されないキーストリームモード) に書き換えられ、IV および暗号文は攻撃者が選択した値に置き換えられます。被害者は正当な CEK の下で AES-256-OFB を初期化し、MAC フィールドを参照することはなく、CMS_decrypt() は成功を返します。

攻撃対象のアプリケーションが、復号処理の成功または失敗を示す何らかのインジケーターで攻撃者に応答する場合、攻撃者はこれをオラクルとして利用し、メッセージの選択された受信者に使用される CEK と同等のキー機能を取得する可能性があります。

別のユースケースでは、攻撃者が特定の AuthEnvelopedData コンテナに対して選択された AEAD cipher のタグ長を 1 バイトに短縮することで、CMS 復号をブルートフォース可能にし、CMS_decrypt() が改ざんされたコンテンツを拒否することを前提とするアプリケーションに対して整合性バイパスを引き起こす可能性があります。

FIPS モジュールは、この問題の影響を受けません。(CVE-2026-34182)

問題のサマリー: リモートピアは、PATH_CHALLENGE frames を含むパケットをフラッディングすることにより、QUIC サーバーまたはクライアントのヒープメモリを枯渇させる可能性があります。

影響のサマリー: 悪意のあるリモートピアが無制限のメモリ割り当てを引き起こし、QUIC クライアントまたはサーバーとして動作するアプリケーションの異常終了およびサービス拒否につながる可能性があります。

リモートピアが PATH_CHALLENGE フレームでローカル QUIC スタックをフラッディングすることにより、ヒープメモリを枯渇させる可能性があります。ローカル QUIC スタックは、受信した PATH_CHALLENGE ごとに PATH_RESPONSE フレームを割り当てます。割り当てられた PATH_RESPONSE フレームは、リモートピアが PATH_RESPONSE フレームの受信を確認した場合にのみ解放されますが、悪意のあるピアはこれを行いません。

4.0、3.6、3.5、3.4 および 3.0 の FIPS モジュールは、この問題の影響を受けません。QUIC スタックは OpenSSL FIPS モジュール境界の外側にあります。(CVE-2026-34183)

問題のサマリー: 無効なトークンを含む QUIC Initial パケットを受信すると、アドレス検証が無効になっている場合に OpenSSL QUIC サーバーで NULL ポインターデリファレンスが発生する可能性があります。

影響のサマリー: NULL ポインターデリファレンスは通常、影響を受ける QUIC サーバープロセスの異常終了およびサービス拒否を引き起こします。

OpenSSL QUIC サーバー実装でアドレス検証が無効になっている場合、攻撃者は無効または期限切れのトークンを含む Initial パケットを送信することで、サーバーをクラッシュさせる可能性があります。

デフォルトでは、OpenSSL QUIC サーバー実装においてクライアントアドレス検証は有効になっているため、デフォルト設定はこの問題の影響を受けません。ただし、SSL_LISTENER_FLAG_NO_VALIDATE が SSL_new_listener() の呼び出しとともに使用される場合、アドレス検証が無効になり、脆弱なコードに到達可能になります。

4.0、3.6、3.5、3.4、3.0 の FIPS モジュールは、この問題による影響を受けません。これは、影響を受けるコードが OpenSSL FIPS モジュール境界の外部にあるためです。(CVE-2026-42764)

問題のサマリー: 特別に細工されたパスワードで暗号化された CMS メッセージにより、CMS 復号化中に NULL ポインターデリファレンスが発生する可能性があります。

影響の要約: この NULL ポインターデリファレンスによりアプリケーションがクラッシュし、サービス拒否を引き起こす可能性があります。

CMS の PasswordRecipientInfo.keyDerivationAlgorithm フィールドは、ASN.1 仕様において OPTIONAL として定義されているため、特別に細工された入力では存在しない可能性があります。パスワードベースの CMS 復号化中に、OpenSSL の CMS 実装は、このフィールドが存在するかどうかを事前に確認せずに逆参照します。

パスワードベースの CMS 復号化を実行するアプリケーションにこのような CMS メッセージを送信する攻撃者は、アプリケーションのクラッシュを引き起こし、サービス拒否を発生させる可能性があります。

パスワードで暗号化された CMS メッセージを処理するアプリケーションに影響が及ぶ可能性があります。

4.0、3.6、3.5、3.4、3.0 の FIPS モジュールは、この問題による影響を受けません。これは、影響を受けるコードが OpenSSL FIPS モジュール境界の外部にあるためです。(CVE-2026-42766)

問題のサマリー: 攻撃者が制御する CMP(Certificate Management Protocol)サーバーが、CMP クライアントアプリケーションで NULL ポインターデリファレンスを引き起こす可能性があります。

影響のサマリー: NULL ポインターデリファレンスによりアプリケーションがクラッシュし、サービス拒否が発生します。

CMP サーバーを制御する (または中間者として動作する) 攻撃者が、symmAlg フィールドにアルゴリズム OID を持つが parameters フィールドを持たない EncryptedValue 構造を含む CRMF (Certificate Request Message Format) CertRepMessage を含む CMP 応答を作成する可能性があります。OpenSSL CMP クライアントがこの応答を処理するときに NULL ポインターデリファレンスが発生し、CMP クライアントがクラッシュします。

信頼できない CMP/CRMF メッセージを処理するアプリケーションに影響が及ぶ可能性があります。

4.0、3.6、3.5、3.4、3.0 の FIPS モジュールは、この問題による影響を受けません。これは、影響を受けるコードが OpenSSL FIPS モジュール境界の外部にあるためです。(CVE-2026-42767)

問題のサマリー: 攻撃者が CMS または S/MIME メッセージを提供し、エラーコードおよび/または復号結果を観察できる場合、CMS_decrypt および PKCS7_decrypt 関数は Bleichenbacher スタイル攻撃に対して脆弱です。

影響のサマリー: Bleichenbacher スタイルの攻撃では、攻撃者が被害者の脆弱なアプリケーションを利用して、被害者の秘密 RSA 鍵でメッセージを復号または署名することが可能になります。

攻撃は 2 つのバリアントで可能です。

1. 復号 API (CMS_decrypt()、PKCS7_decrypt()) は、受信者証明書を指定せずに使用されます。
この場合、OpenSSL は最初の成功で停止することなく KeyTransRecipientInfo (KTRI) をすべて反復処理します。

攻撃者が、2 つの KTRI エントリ (1 つ目は被害者の公開鍵で正当な CEK をラップし、2 つ目は任意のプローブ暗号文) を持つメッセージを作成した場合、アプリケーションのエラーコードが利用可能であれば、2 つ目の KTRI を繰り返し試行して有効な PKCS#1 v1.5 パディングを得る機会を得ます。

これは Bleichenbacher オラクル (Bleichenbacher, CRYPTO '98) です。これは、攻撃者が任意の RSA 暗号文を被害者の鍵で復号できる、またはその鍵の下で任意の PKCS#1 v1.5 署名を偽造できる適応型選択暗号文サイドチャネルです。

2. 復号 API (CMS_decrypt()、PKCS7_decrypt()) に受信者証明書が指定され、受信者が見つからない場合、ランダムキーが代替として使用されます。

メッセージを作成し、エラーコードと復号結果の両方を比較できる攻撃者は、Bleichenbacher オラクルを構築することが可能です。

現時点で、これらのシナリオで説明されている攻撃を実行する機会をリモート攻撃者に提供するアプリケーションについては認識していません。そのようなアプリケーションが存在する可能性は非常に低いと考えており、このため本 CVE は低重要度と評価されています。

こうした攻撃を回避するため、RSA PKCS#1 v1.5 Key Transport を使用している場合、呼び出される EVP_PKEY_decrypt() は draft-irtf-cfrg-rsa-guidance で説明されている暗黙的拒否メカニズムを使用します。以前の OpenSSL リリースでは、暗黙的拒否は明示的に無効化されていました。

暗黙的拒否メカニズムは、常に平文の値、すなわち対称鍵を返します。 この結果は、暗号文と秘密鍵に対して決定論的です。復号結果の長さが、コンテンツ暗号化に使用された対称暗号の鍵の長さと一致する可能性があります。証明書が提供されない場合、有効に見える鍵を生成する最後の RecipientInfo が使用されます。これにより、復号時に不正なコンテンツを取得する可能性があります。これを適切に処理するには、復号対象の特定の RecipientInfo を識別するために recipient certificate を提供する必要があります。

4.0、3.6、3.5 および 3.4 の FIPS モジュールは、この問題の影響を受けません。これは、CMS および S/MIME の処理が OpenSSL FIPS モジュール境界の外側で行われるためです。(CVE-2026-42768)

問題のサマリー: Root CA キー更新 Certificate Management Protocol (CMP) のメッセージ応答で提供された証明書の検証に使用されるコールバックのエラーにより、証明書検証が無効になり、認証情報が登録局 (RA) レベルからルート認証局 (root CA) レベルへ昇格される可能性があります。

影響のサマリー: 登録自動化が、CMP クライアントのルートCA証明書を任意のルート CA 証明書に置き換える可能性があります。

RFC 9810 で規定されている Certificate Management Protocol (CMP) の機能の 1 つに、Root Certification Authority (root CA) 鍵のロールオーバーがあります。これは、サーバーから「id-it-rootCaKeyUpdate」タイプのメッセージで送信されます。これらのメッセージの一部として、古い root CA 鍵で署名された新しい root CA 証明書である 'newWithOld' 証明書が提供されます。この署名の検証は、古い CA 鍵から新しい CA 鍵へ信頼を移行するうえで重要です。

「id-it-rootCaKeyUpdate」メッセージは、「newWithOld」証明書を検証することが期待されている OSSL_CMP_get1_rootCaKeyUpdate() で処理されることが想定されています。証明書チェーンビルディングコードに誤字があるため、正しくない証明書 (「oldRoot」ではなく「newWithOld」) が証明書チェーンに追加され、証明書検証プロセスが無効になっていました (検証コードの他の部分によって検証されるのは、発行者名とアルゴリズム OID のみ)。

CMP メッセージ保護チェックを満たす資格情報をすでに持っている攻撃者が、新しいキーペアを生成し、細工された自己署名証明書をその「id-it-rootCaKeyUpdate」CMP メッセージで使用する可能性があります。これは影響を受ける CMP クライアントが新しいトラストアンカーとして受け入れます。

攻撃の重大な前提条件 (有効なRAレベルの資格情報を持っている) が、問題に深刻度「低」が割り当てられた理由です。

FIPS モジュールは、この問題による影響を受けません。これは、影響を受けるコードが OpenSSL FIPS モジュール境界の外部にあるためです。(CVE-2026-42769)

問題のサマリー: EVP_PKEY_derive_set_peer() が DHX (X9.42) ピア鍵で呼び出された場合、ピア鍵のサブグループ所属に関する検証が適切に行われません。

影響のサマリー: 被害者の p パラメーターおよび g パラメーターを含む X9.42 鍵と、偽造された q = r (補因子 (p-1)/q_local の小さな素因数) および位数 r の公開値 Y を提示する悪意のあるピアは、少数回の鍵交換試行の後に被害者の秘密鍵を復元できる可能性があります。

EVP_PKEY_derive_set_peer() が DHX (X9.42) ピア鍵で呼び出されると、サブグループ所属チェック Y^q [?] 1 (mod p) は、ローカル鍵の q ではなく、ピア自身の q パラメーターを使用して実行されます。その後、ピアのドメインパラメーターは秘密鍵のドメインパラメーターと照合されますが、q の値は比較されません。

被害者の p、g、偽造された q = r (補因子の小さな素因数)、および位数 r の公開値 Y を含む X9.42 鍵を提示する悪意のあるピアは、すべてのチェックを通過します。その後、共有秘密は r 個の異なる値しか取らず、priv mod r が漏えいします。補因子の小さな素因数ごとに繰り返し、CRT を用いて組み合わせることで、完全な秘密鍵が復元されます (Lim-Lee / 小サブグループ閉じ込め攻撃)。

現実的なアタックサーフェスは狭く、主に長期間使用される RA/CA DHX 鍵を持つ CMP デプロイメント、およびインタラクティブプロトコルを使用する X9.42 DHX 静的鍵を用いる特注のエンタープライズまたは政府向けアプリケーションに限られます。このため、本問題は低重要度と評価されています。

4.0、3.6、3.5、3.4、および 3.0 の FIPS モジュールは、この問題の影響を受けます。(CVE-2026-42770)

問題のサマリー: アプリケーションがパブリック EVP_Cipher() ワンショットインターフェースから AES-OCB コンテキストを駆動するとき、アプリケーション提供の初期化ベクトル (IV) はサイレントに破棄されます。

影響のサマリー: 同じキーで暗号化されたすべてのメッセージは、呼び出し元から供給された IV に関係なく、同じ有効なノンスを使用するため、(キー、ノンス) 再利用と機密性の喪失が発生します。認証タグの計算に同じコードパスを使用する場合、タグは (キー、IV) のペアにのみ依存し、平文や暗号文には依存しません。これにより、キャプチャされた単一のメッセージから任意の暗号文を普遍的に偽造することが可能です。

OpenSSL には暗号化を駆動する方法として、ドキュメントに記載されているストリーミングインターフェース (EVP_CipherUpdate / EVP_CipherFinal_ex) と、より低レベルのワンショット方式である EVP_Cipher() の 2 つが用意されています。ただし、そのドキュメントでは、EVP_CipherUpdate() および EVP_CipherFinal_ex() の代わりに、アプリケーションによる使用を明示的に推奨していません。OCB プロバイダーのストリーミングハンドラーは、データを処理する前に、アプリケーション指定の IV を OCB コンテキストにフラッシュします。ワンショットハンドラーはそうではありませんでした。したがって、AES-OCB コンテキストの EVP_Cipher() へのすべての呼び出しは、呼び出し側の IV に関係なく、暗号の初期化によって残されたすべてゼロのキー派生のオフセット状態で実行されました。

後で EVP_EncryptFinal_ex() を使用して認証タグを取得した場合、その時点で遅延 IV セットアップが実行され、平文に蓄積されているはずの実行チェックサムがクリアされます。結果のタグは (キー、IV) のみの関数であり、同じ (キー、IV) ペアの下で生成された暗号文に対して検証します。

OpenSSL の SSL/TLS 実装は影響を受けません。AES-OCB は TLS 暗号スイートではなく、libssl はいかなる場合でも EVP_Cipher() を呼び出しません。文書化されたストリーミング AEAD API (EVP_CipherUpdate / EVP_CipherFinal_ex) を通じて AES-OCB を使用するアプリケーションは影響を受けません。AES-OCB 暗号と EVP_Cipher() ワンショット API を組み合わせたアプリケーションのみが脆弱です。

4.0、3.6、3.5、3.4、3.0 の FIPS モジュールは、この問題による影響を受けません。これは、AES-OCB が OpenSSL FIPS モジュール境界の外部にあるためです。(CVE-2026-45445)

問題のサマリー: AES-SIV (RFC 5297) および AES-GCM-SIV (RFC 8452) の実装は、空の暗号文を持つ AAD (追加認証データ) の認証を誤って処理するため、このようなメッセージが偽造される可能性があります。

影響の概要: 攻撃者は、これらの暗号を使用して、任意の AAD で空のメッセージを被害者のアプリケーションに偽造する可能性があります。

AES-SIV (RFC 5297) と AES-GCM-SIV (RFC 8452) はノンスの誤用に強い AEAD モードです。キー、ノンス、オプションの AAD (認証されるが暗号化されていないバイト)、平文を受け入れ、暗号文と 16 バイトのタグを生成します。復号化では、「EVP_DecryptFinal_ex()」は、タグが正常に検証された場合にのみ成功を返すと記載されています。

これらの暗号の OpenSSL のプロバイダー実装では、期待されるタグは、復号化関数が空でないデータで呼び出された場合にのみ計算されます。呼び出し元が AAD を指定した後、受信した暗号文の長さがゼロの場合などに起こり得るように、暗号文の更新を呼び出さずに「EVP_DecryptFinal_ex()」を呼び出した場合、タグは再計算されず、引き続き全桁ゼロの値のままとなります。

AES-GCM-SIV を使用する場合、任意の AAD、空の暗号文、すべてゼロのタグを送信する攻撃者は、自身が知らない任意の鍵に対して、一度の試行で認証を通過できてしまいます。AES-SIV を使用する場合、攻撃をマウントするために、アプリケーションは、キーをリセットせずに復号化コンテキストを再利用する必要があります。

AES-SIV は、OpenSSL 3.0 以降に実装されています。AES-GCM-SIV は、OpenSSL 3.2 以降に実装されています。

OpenSSL 自体で実装されているプロトコル (TLS/CMS/PKCS7/HPKE/QUIC) は、AES-GCM-SIV または AES-SIV のいずれもサポートしていません。
攻撃を仕掛けるには、アプリケーションが独自のプロトコルを実装し、EVP インターフェースを使用する必要があります。また、暗号文が空のメッセージが届いたときに、暗号文の更新をスキップする必要があります。

4.0、3.6、3.5、3.4、3.0 の FIPS モジュールは、これらのアルゴリズムが FIPS 認証を受けておらず、影響を受けるコードが OpenSSL FIPS モジュール境界の外部にあるため、この問題による影響を受けません。(CVE-2026-45446)

問題のサマリー: 特別に細工された PKCS#7 または S/MIME 署名付きメッセージにより、PKCS#7 署名認証中に use-after-free が発生する可能性があります。

影響のサマリー: メモリ解放後使用 (use-after-free) により、プロセスのクラッシュ、ヒープの破損、またはリモートでのコード実行が引き起こされる可能性があります。

PKCS#7 または S/MIME 署名付きメッセージを処理するときに、SignedData digestAlgorithms フィールドが空の ASN.1 SET として存在すると、OpenSSL が PKCS7_verify() 中に呼び出し元所有の BIO を不適切に解放する可能性があります。呼び出し元のアプリケーションが BIO をその後使用すると、メモリ解放後使用 (Use After Free) 状態になります。

一般的なケースでは、これはアプリケーションが最初に PKCS7_verify() に渡された BIO で BIO_free() を後に呼び出すときに発生します。アロケーターの動作やアプリケーション固有の BIO 使用パターンによっては、これによりクラッシュやその他のメモリ破損が発生する可能性があります。一部のアプリケーションコンテキストでは、これがリモートコードの実行のために悪用される可能性があります。

OpenSSLPKCS#7 API を使用して PKCS#7 または S/MIME 署名のあるメッセージを処理するアプリケーションが影響を受ける可能性があります。
この処理に CMS API を使用するアプリケーションは影響を受けません。

4.0、3.6、3.5、3.4、3.0 の FIPS モジュールは、この問題による影響を受けません。これは、影響を受けるコードが OpenSSL FIPS モジュール境界の外部にあるためです。(CVE-2026-45447)

問題のサマリー: ASN1_mbstring_ncopy() で Unicode 出力の宛先バッファをサイジングする際の符号付き整数オーバーフローが、ヒープバッファオーバーフローにつながる可能性があります。

影響の概要: ヒープバッファオーバーフローにより、クラッシュや攻撃者による任意コード実行、またはその他の未定義の動作が発生する可能性があります。

ASN1_mbstring_copy() と ASN1_mbstring_ncopy() では、BMPSTRING (UTF-16) と UNIVERSALSTRING (UTF-32) の入力文字カウントを左シフトし、UTF8STRING の文字ごとのバイト数を合計することによって、Unicode 出力のデスティネーションサイズは符号付き整数で計算されます。入力が約 2^30 文字に達すると、計算がオーバーフローします。最悪の場合 (2^30 文字の UNIVERSALSTRING)、サイズがゼロに折り返されると、OPENSSL_malloc(1) が呼び出され、後続の文字コピーが 1 バイトの割り当てを超えて数ギガバイトを書き込みます。

X.509 証明書処理は ASN1_STRING_set_by_NID() を経由します。DIRSTRING_TYPE マスクは UNIVERSALSTRING を除外し、NID ごとのサイズ制限により入力長が制限されます。OpenSSL にはネットワークプロトコルや証明書処理パスが存在しないため、このオーバーフローは発生しません。このバグを発生させるには、ASN1_mbstring_copy() または ASN1_mbstring_ncopy() を直接呼び出すアプリケーション、あるいは ASN1_STRING_TABLE_add() を介してカスタム文字列型を登録し、攻撃者が制御する半ギガバイト以上の入力を扱う必要があります。これらの理由により、本問題は低重要度と評価されています。

4.0、3.6、3.5、3.4、3.0 の FIPS モジュールは、この問題による影響を受けません。これは、影響を受けるコードが OpenSSL FIPS モジュール境界の外部にあるためです。(CVE-2026-7383)

問題のサマリー: CMS パスワードベースの復号化 (RFC 3211/PWRI キーアンラップ) が攻撃者指定の CMS データを処理するとき、攻撃者が選択したストリームモード KEK 暗号が kek_unwrap_key() でヒープ領域外読み取りを発生させる可能性があります。

影響のサマリー: 入力バッファがメモリページの境界で終了し、次のページがマッピング解除されている場合、ヒープバッファのオーバーリードによりクラッシュが引き起こされ、アプリケーションのサービス拒否につながる可能性があります。オーバーリードされたバイトが攻撃者に漏洩されることはないため、情報漏洩はありません。

キーアンラップ関数は、RFC で指定されているようにチェックバイトテストを実行し、メッセージからのラップされたキーの長さに基づくヒープ割り当てから 7 バイトを読み取ります。ラッピング暗号のブロック長に基づく最小長チェックがあります。ただし、暗号は攻撃者の PWRI keyEncryptionAlgorithm で運ばれる OID から選択され、暗号がブロック暗号である必要はありません。攻撃者がストリームモード暗号を選択すると、ガードは無効になり、ラップ解除されたキーを含む割り当てられたバッファが小さすぎて RFC で指定されたチェックバイトに収まらない可能性があり、バッファオーバーリードが発生する可能性があります。

信頼できない CMS データに対して、CMS_decrypt() または CMS_decrypt_set1_password() (同等の openssl cms -decrypt
-pwri_password ...) を呼び出すアプリケーションは、この問題に対して脆弱です。パスワードの知識は必要ありません。
オーバーリードは、認証が成功する前に、ラップ解除の試行中に発生します。

オーバーリードは数バイトに制限され、出力に書き込まれないため、情報漏洩は発生しません。クラッシュを発生させるには、マッピングされていないメモリの境界に対する割り当てが必要ですが、通常のアロケーターでは起こらないことになります。

FIPS モジュールは、この問題の影響を受けません。(CVE-2026-9076)

Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

「dnf update openssl --releasever 2023.12.20260622」または「dnf update --advisory ALAS2023-2026-1853 --releasever 2023.12.20260622」を実行してシステムを更新してください。

参考資料

https://alas.aws.amazon.com//AL2023/ALAS2023-2026-1853.html

https://alas.aws.amazon.com/faqs.html

https://explore.alas.aws.amazon.com/CVE-2026-34180.html

https://explore.alas.aws.amazon.com/CVE-2026-34181.html

https://explore.alas.aws.amazon.com/CVE-2026-34182.html

https://explore.alas.aws.amazon.com/CVE-2026-34183.html

https://explore.alas.aws.amazon.com/CVE-2026-42764.html

https://explore.alas.aws.amazon.com/CVE-2026-42766.html

https://explore.alas.aws.amazon.com/CVE-2026-42767.html

https://explore.alas.aws.amazon.com/CVE-2026-42768.html

https://explore.alas.aws.amazon.com/CVE-2026-42769.html

https://explore.alas.aws.amazon.com/CVE-2026-42770.html

https://explore.alas.aws.amazon.com/CVE-2026-45445.html

https://explore.alas.aws.amazon.com/CVE-2026-45446.html

https://explore.alas.aws.amazon.com/CVE-2026-45447.html

https://explore.alas.aws.amazon.com/CVE-2026-7383.html

https://explore.alas.aws.amazon.com/CVE-2026-9076.html

プラグインの詳細

深刻度: Critical

ID: 322070

ファイル名: al2023_ALAS2023-2026-1853.nasl

バージョン: 1.1

タイプ: Local

エージェント: unix

公開日: 2026/6/22

更新日: 2026/6/22

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.7

パーセンタイル: 99.06

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2026-45447

CVSS v3

リスクファクター: Critical

基本値: 9.1

現状値: 7.9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2026-34182

脆弱性情報

CPE: p-cpe:/a:amazon:linux:openssl-debugsource, p-cpe:/a:amazon:linux:openssl-perl, p-cpe:/a:amazon:linux:openssl-fips-provider-latest-debuginfo, p-cpe:/a:amazon:linux:openssl-snapsafe-libs-debuginfo, p-cpe:/a:amazon:linux:openssl-snapsafe-libs, p-cpe:/a:amazon:linux:openssl-libs-debuginfo, p-cpe:/a:amazon:linux:openssl-devel, p-cpe:/a:amazon:linux:openssl-fips-provider-latest, p-cpe:/a:amazon:linux:openssl-debuginfo, p-cpe:/a:amazon:linux:openssl, cpe:/o:amazon:linux:2023, p-cpe:/a:amazon:linux:openssl-libs

必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2026/6/22

脆弱性公開日: 2026/6/9

参照情報

CVE: CVE-2026-34180, CVE-2026-34181, CVE-2026-34182, CVE-2026-34183, CVE-2026-42764, CVE-2026-42766, CVE-2026-42767, CVE-2026-42768, CVE-2026-42769, CVE-2026-42770, CVE-2026-45445, CVE-2026-45446, CVE-2026-45447, CVE-2026-7383, CVE-2026-9076

IAVA: 2026-A-0589