iidaの日記: OpenSSL 1.1.0g, 1.0.2m
日記 by
iida
OpenSSLに (8月のとは別の新たな) 脆弱性が発覚し、セキュリティー・アドバイザリーが刊行され、1.1.0g、1.0.2mがいっせいにリリースされた (2017-11-02)。
発覚した脆弱性のうち1件は、8月のセキュリティー・アドバイザリーで既報。
bn_sqrx8x_internal carry bug on x86_64 (CVE-2017-3736)
======================================================
深刻度: 中
x86_64プラットホームでの自乗の計算に桁上げの欠陥が発覚。
楕円暗号への影響はなし。
RSAやDSAへの悪用は困難とみられ、実現はあまりありそうではない。
ディッフィー・ヘルマン (DH) 鍵交換への悪用は困難だが、可能とみられる。
攻撃に必要な資源が巨大なので、攻撃者の数は限定されよう。
BMI1、BMI2、ADX拡張のある第5世代Intel Broadwell以降やAMD Ryzenを含むプロセッサー群に影響がある、という。
OpenSSL 1.1.0g, 1.0.2m More ログイン