NVD Vulnerability Detail
Search Exploit, PoC
CVE-2023-1255
Summary

Issue summary: The AES-XTS cipher decryption implementation for 64 bit ARM
platform contains a bug that could cause it to read past the input buffer,
leading to a crash.

Impact summary: Applications that use the AES-XTS algorithm on the 64 bit ARM
platform can crash in rare circumstances. The AES-XTS algorithm is usually
used for disk encryption.

The AES-XTS cipher decryption implementation for 64 bit ARM platform will read
past the end of the ciphertext buffer if the ciphertext size is 4 mod 5 in 16
byte blocks, e.g. 144 bytes or 1024 bytes. If the memory after the ciphertext
buffer is unmapped, this will trigger a crash which results in a denial of
service.

If an attacker can control the size and location of the ciphertext buffer
being decrypted by an application using AES-XTS on 64 bit ARM, the
application is affected. This is fairly unlikely making this issue
a Low severity one.

Publication Date April 21, 2023, 2:15 a.m.
Registration Date April 21, 2023, 10 a.m.
Last Update Nov. 21, 2024, 4:38 p.m.
CVSS3.1 : MEDIUM
スコア 5.9
Vector CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃に必要な特権レベル(PR) 不要
利用者の関与(UI) 不要
影響の想定範囲(S) 変更なし
機密性への影響(C) なし
完全性への影響(I) なし
可用性への影響(A)
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:openssl:openssl:*:*:*:*:*:*:*:* 3.1.0 3.1.1
cpe:2.3:a:openssl:openssl:*:*:*:*:*:*:*:* 3.0.0 3.0.9
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
OpenSSL の64ビット ARM 向け AES-XTS 実装における入力バッファ外読み込みの脆弱性 (Security Advisory [20th April 2023])
Title OpenSSL の64ビット ARM 向け AES-XTS 実装における入力バッファ外読み込みの脆弱性 (Security Advisory [20th April 2023])
Summary

OpenSSL Project より、<a href="https://www.openssl.org/news/secadv/20230420.txt" target="blank">OpenSSL Security Advisory [20th April 2023]</a> (Input buffer over-read in AES-XTS implementation on 64 bit ARM (CVE-2023-1255))が公開されました。 深刻度 - 低(Severity: Low) OpenSSL の 64 ビット ARM プラットフォーム用 AES-XTS 復号処理の実装に、暗号文のサイズが 5 の倍数プラス 4 バイト(例えば、144 バイトや 1024 バイト)の場合に暗号文バッファの末尾を超えて読み込みをする脆弱性があります。

Possible impacts 64 ビット ARM プラットフォーム上で AES-XTS アルゴリズムを使用するアプリケーションにおいて、攻撃者が暗号文バッファのサイズとメモリアドレスを制御できる場合、アプリケーションがクラッシュさせられ、サービス運用妨害(DoS)攻撃を受ける可能性があります。
Solution

[修正を適用する] 開発者によると、本脆弱性の深刻度は低であるため本脆弱性の修正に対応するリリースは提供せず、修正内容は通常の次期リリースに含まれる予定となっています。なお、本脆弱性の修正は以下のコミットで行われています。  * commit bc2f61ad (3.1ユーザ向け)  * commit 02ac9c94 (3.0ユーザ向け)

Publication Date April 24, 2023, midnight
Registration Date April 25, 2023, 1:56 p.m.
Last Update Oct. 4, 2023, 2:31 p.m.
Affected System
OpenSSL Project
OpenSSL 3.0.0
OpenSSL 3.0.8
OpenSSL 3.1.0
CVE (情報セキュリティ 共通脆弱性識別子)
ベンダー情報
その他
Change Log
No Changed Details Date of change
1 [2023年04月25日]
  掲載		 April 25, 2023, 1:56 p.m.
2 [2023年10月04日]
  ベンダ情報:日立 (hitachi-sec-2023-144) を追加
 Oct. 4, 2023, 1:01 p.m.