| タイトル | octoprint.orgのOctoPrintにおけるタイミングの違いに起因する情報漏えいに関する脆弱性 |
|---|---|
| 概要 | OctoPrintは消費者向け3Dプリンターを制御するためのウェブインターフェースを提供します。OctoPrintのバージョン1.11.5まで(1.11.5を含む)は、ネットワーク経由でAPIキーを抽出可能な理論的なタイミング攻撃の脆弱性の影響を受けます。APIキーの検証時に、ミスマッチした最初の文字で短絡する文字ベースの比較を使用しているため、ミスマッチ箇所に関係なく静的な実行時間を持つ暗号学的な方法を用いていません。このため、影響を受けるOctoPrintにネットワーク経由でアクセスできる攻撃者は、拒否アクセスの応答時間を計測し文字ごとに推測することで、そのインスタンスで有効なAPIキーを抽出できます。この脆弱性はバージョン1.11.6で修正されています。この攻撃が実際に成功する可能性はネットワークの遅延、ノイズ、及び類似のパラメータに大きく依存します。これまでに実際の概念実証は達成されていません。それでも管理者は常に、自分のOctoPrintインスタンスを敵対的なネットワーク、特に公衆インターネットに公開しないように注意することが推奨されます。 |
| 想定される影響 | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年1月27日0:00 |
| 登録日 | 2026年2月4日18:36 |
| 最終更新日 | 2026年2月4日18:36 |
| CVSS3.0 : 警告 | |
| スコア | 5.9 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
| octoprint.org |
| OctoPrint 1.11.6 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年02月04日] 掲載 |
2026年2月4日18:36 |