NVD Vulnerability Detail

CVE-2023-5678

Summary	Issue summary: Generating excessively long X9.42 DH keys or checking excessively long X9.42 DH keys or parameters may be very slow. Impact summary: Applications that use the functions DH_generate_key() to generate an X9.42 DH key may experience long delays. Likewise, applications that use DH_check_pub_key(), DH_check_pub_key_ex() or EVP_PKEY_public_check() to check an X9.42 DH key or X9.42 DH parameters may experience long delays. Where the key or parameters that are being checked have been obtained from an untrusted source this may lead to a Denial of Service. While DH_check() performs all the necessary checks (as of CVE-2023-3817), DH_check_pub_key() doesn't make any of these checks, and is therefore vulnerable for excessively large P and Q parameters. Likewise, while DH_generate_key() performs a check for an excessively large P, it doesn't check for an excessively large Q. An application that calls DH_generate_key() or DH_check_pub_key() and supplies a key or parameters obtained from an untrusted source could be vulnerable to a Denial of Service attack. DH_generate_key() and DH_check_pub_key() are also called by a number of other OpenSSL functions. An application calling any of those other functions may similarly be affected. The other functions affected by this are DH_check_pub_key_ex(), EVP_PKEY_public_check(), and EVP_PKEY_generate(). Also vulnerable are the OpenSSL pkey command line application when using the "-pubcheck" option, as well as the OpenSSL genpkey command line application. The OpenSSL SSL/TLS implementation is not affected by this issue. The OpenSSL 3.0 and 3.1 FIPS providers are not affected by this issue.
Publication Date	Nov. 7, 2023, 1:15 a.m.
Registration Date	Nov. 7, 2023, 10 a.m.
Last Update	Nov. 21, 2024, 5:42 p.m.

CVSS3.1 : MEDIUM
スコア	5.3
Vector	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	不要
利用者の関与(UI)	不要
影響の想定範囲(S)	変更なし
機密性への影響(C)	なし
完全性への影響(I)	なし
可用性への影響(A)	低

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:openssl:openssl::::::::	1.0.2			1.0.2zj
cpe:2.3:a:openssl:openssl::::::::	1.1.1			1.1.1x
cpe:2.3:a:openssl:openssl::::::::	3.0.0			3.0.13
cpe:2.3:a:openssl:openssl::::::::	3.1.0			3.1.5

Related information, measures and tools

No	URL	タグ
1	http://www.openwall.com/lists/oss-security/2024/03/11/1
2	https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=34efaef6c103d636ab507a0cc34dca4d3aecc055	Broken Link
3	https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=34efaef6c103d636ab507a0cc34dca4d3aecc055	Broken Link
4	https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=710fee740904b6290fef0dd5536fbcedbc38ff0c	Broken Link
5	https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=710fee740904b6290fef0dd5536fbcedbc38ff0c	Broken Link
6	https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=db925ae2e65d0d925adef429afc37f75bd1c2017	Mailing List Patch
7	https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=db925ae2e65d0d925adef429afc37f75bd1c2017	Mailing List Patch
8	https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=ddeb4b6c6d527e54ce9a99cba785c0f7776e54b6	Mailing List Patch
9	https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=ddeb4b6c6d527e54ce9a99cba785c0f7776e54b6	Mailing List Patch
10	https://security.netapp.com/advisory/ntap-20231130-0010/
11	https://www.openssl.org/news/secadv/20231106.txt	Vendor Advisory
12	https://www.openssl.org/news/secadv/20231106.txt	Vendor Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-754	例外的な状態における不適切なチェック	https://cwe.mitre.org/data/definitions/754.html

JVN Vulnerability Information

OpenSSL における DH キー生成とパラメータチェックに過剰な時間がかかる問題 (Security Advisory [6th November 2023])

Title	OpenSSL における DH キー生成とパラメータチェックに過剰な時間がかかる問題 (Security Advisory [6th November 2023])
Summary	OpenSSL Project より、<a href="https://www.openssl.org/news/secadv/20231106.txt"target="blank">OpenSSL Security Advisory [6th November 2023]</a> (Excessive time spent in DH check / generation with large Q parameter value (CVE-2023-5678)）が公開されました。深刻度 - 低 (Severity: Low) OpenSSL の DH_generate_key() 関数は、過度に大きい P パラメータのチェックを行いますが、Q パラメータではそのチェックを行いません。これにより、DH_generate_key() 関数を使用して X9.42 DH キーを生成するアプリケーションでは、長い遅延が発生する可能性があります。同様に、DH_check_pub_key() 関数では、DH パラメータに対する必要なチェックを行わず、P パラメータや Q パラメータが大きすぎる場合に脆弱であり、DH_check_pub_key() 関数を使用して X9.42DH キーまたは X9.42DH パラメータをチェックするアプリケーションでは、長い遅延が発生する可能性があります。 DH_generate_key() 関数と DH_check_pub_key() 関数は、DH_check_pub_key_ex() 関数、EVP_PKEY_public_check() 関数、EVP_PKEY_generate() 関数からも呼び出されるため、これらの関数を呼び出すアプリケーションも同様に影響を受ける可能性があります。また、「-pubcheck」オプションを使用した場合の OpenSSL pkey コマンドラインアプリケーションおよび genpkey コマンドラインアプリケーションも本脆弱性の影響を受けます。なお、OpenSSL Project は、OpenSSL SSL/TLS 実装および、OpenSSL 3.0 と 3.1 の FIPS プロバイダは本脆弱性の影響を受けないとしています。
Possible impacts	DH_generate_key() 関数や DH_check_pub_key() 関数を使用するアプリケーションにおいて、チェック対象のキーやパラメータが信頼できないソースから取得されたものである場合、サービス運用妨害 (DoS) 状態となる可能性があります。
Solution	[アップデートする] 開発者による本脆弱性公開時点では、深刻度が低であるため、OpenSSL git リポジトリにて、commit のみを提供していましたが、現地時間 2024 年 1 月 30 日に本脆弱性を修正した以下のバージョンがリリースされました。　* OpenSSL 3.1.5 　* OpenSSL 3.0.13 プレミアムサポートカスタマ向けには以下の commit で修正されているとのことです。　* commit 710fee740904b6290fef0dd5536fbcedbc38ff0c （1.1.1 系プレミアムサポートユーザ向け）　* commit 34efaef6c103d636ab507a0cc34dca4d3aecc055 （1.0.2 系プレミアムサポートユーザ向け）
Publication Date	Nov. 9, 2023, midnight
Registration Date	Nov. 10, 2023, 11:02 a.m.
Last Update	Aug. 20, 2025, 10:06 a.m.

Affected System

OpenSSL Project

OpenSSL 1.0.2

OpenSSL 1.1.1

OpenSSL 3.0

OpenSSL 3.1

日立

日立アドバンストサーバ HA8000V シリーズ

日立高信頼サーバ RV3000

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2023-5678	https://www.cve.org/CVERecord?id=CVE-2023-5678
National Vulnerability Database (NVD)
2	CVE-2023-5678	https://nvd.nist.gov/vuln/detail/CVE-2023-5678

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-754	https://cwe.mitre.org/data/definitions/754.html

ベンダー情報

No	Name	URL
OpenSSL Project
1	OpenSSL 3.0 Series Release Notes	https://www.openssl.org/news/openssl-3.0-notes.html
2	OpenSSL 3.1 Series Release Notes	https://www.openssl.org/news/openssl-3.1-notes.html
3	OpenSSL Security Advisory [6th November 2023]	https://www.openssl.org/news/secadv/20231106.txt
サーバ・クライアント製品セキュリティ情報
4	hitachi-sec-2024-210	https://www.hitachi.co.jp/products/it/server/security/info/vulnerable/hitachi_sec_2024_210.html
5	hitachi-sec-2024-224	https://www.hitachi.co.jp/products/it/server/security/info/vulnerable/hitachi_sec_2024_224.html

その他

No	Name	URL
ICS-CERT ADVISORY
1	ICSA-23-348-10	https://www.cisa.gov/news-events/ics-advisories/icsa-23-348-10
2	ICSA-24-102-01	https://www.cisa.gov/news-events/ics-advisories/icsa-24-102-01
3	ICSA-24-102-07	https://www.cisa.gov/news-events/ics-advisories/icsa-24-102-07
4	ICSA-24-102-08	https://www.cisa.gov/news-events/ics-advisories/icsa-24-102-08
5	ICSA-24-137-07	https://www.cisa.gov/news-events/ics-advisories/icsa-24-137-07
6	ICSA-24-165-04	https://www.cisa.gov/news-events/ics-advisories/icsa-24-165-04
7	ICSA-24-319-04	https://www.cisa.gov/news-events/ics-advisories/icsa-24-319-04
8	ICSA-24-319-08	https://www.cisa.gov/news-events/ics-advisories/icsa-24-319-08
9	ICSA-25-044-09	https://www.cisa.gov/news-events/ics-advisories/icsa-25-044-09
10	ICSA-25-100-02	https://www.cisa.gov/news-events/ics-advisories/icsa-25-100-02
11	ICSA-25-226-15	https://www.cisa.gov/news-events/ics-advisories/icsa-25-226-15
JVN
12	JVNVU#90506697	https://jvn.jp/vu/JVNVU90506697/
13	JVNVU#90955260	https://jvn.jp/vu/JVNVU90955260/index.html
14	JVNVU#92169998	https://jvn.jp/vu/JVNVU92169998/index.html
15	JVNVU#93250330	https://jvn.jp/vu/JVNVU93250330/
16	JVNVU#95962757	https://jvn.jp/vu/JVNVU95962757/index.html
17	JVNVU#96191615	https://jvn.jp/vu/JVNVU96191615/index.html
18	JVNVU#98271228	https://jvn.jp/vu/JVNVU98271228/index.html
19	JVNVU#99711420	https://jvn.jp/vu/JVNVU99711420/index.html
20	JVNVU#99836374	https://jvn.jp/vu/JVNVU99836374/index.html

Change Log

No	Changed Details	Date of change
3	[2024年02月06日] ベンダ情報：内容を更新対策：内容を更新参考情報：National Vulnerability Database (NVD) (CVE-2023-5678) を追加 CVSS による深刻度の内容を更新しました	Feb. 6, 2024, 1:30 p.m.
4	[2024年04月15日] 参考情報：JVN (JVNVU#99836374) を追加参考情報：ICS-CERT ADVISORY (ICSA-24-102-01) を追加参考情報：ICS-CERT ADVISORY (ICSA-24-102-07) を追加参考情報：ICS-CERT ADVISORY (ICSA-24-102-08) を追加	April 15, 2024, 11:56 a.m.
5	[2024年05月20日] 参考情報：JVN (JVNVU#90955260) を追加参考情報：ICS-CERT ADVISORY (ICSA-24-137-07) を追加	May 20, 2024, 1:56 p.m.
6	[2024年06月17日] 参考情報：JVN (JVNVU#93250330) を追加参考情報：ICS-CERT ADVISORY (ICSA-24-165-04) を追加	June 17, 2024, 3:44 p.m.
7	[2024年08月06日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：日立(hitachi-sec-2024-210)を追加	Sept. 3, 2024, 11:15 a.m.
8	[2024年09月03日] 影響を受けるシステム：ベンダ情報 (hitachi-sec-2024-210) の更新に伴い内容を更新	Sept. 3, 2024, 11:16 a.m.
9	[2024年11月18日] 参考情報：JVN (JVNVU#96191615) を追加参考情報：ICS-CERT ADVISORY (ICSA-24-319-04) を追加参考情報：ICS-CERT ADVISORY (ICSA-24-319-08) を追加	Nov. 18, 2024, 4:06 p.m.
10	[2025年02月18日] ベンダ情報：日立 (hitachi-sec-2024-224) を追加参考情報：JVN (JVNVU#95962757) を追加参考情報：ICS-CERT ADVISORY (ICSA-25-044-09) を追加	Feb. 18, 2025, 11:34 a.m.
11	[2025年04月14日] 参考情報：JVN (JVNVU#90506697) を追加参考情報：ICS-CERT ADVISORY (ICSA-25-100-02) を追加	April 17, 2025, 5:01 p.m.
1	[2023年11月10日] 掲載	Nov. 10, 2023, 10:46 a.m.
2	[2023年12月21日] 参考情報：JVN (JVNVU#98271228) を追加参考情報：ICS-CERT ADVISORY (ICSA-23-348-10) を追加	Dec. 21, 2023, 10:31 a.m.
12	[2025年08月19日] 参考情報：JVN (JVNVU#92169998) を追加参考情報：ICS-CERT ADVISORY (ICSA-25-226-15) を追加	Aug. 19, 2025, 4:02 p.m.