問題の概要：AES-NIまたは他のハードウェアアクセラレーションされたコードパスで低レベルのOCB APIを直接使用する場合、長さが16バイトの倍数でない入力は、最終部分ブロックが暗号化および認証されずに残る可能性があります。影響の概要：メッセージの末尾の1から15バイトが暗号化時に平文で露出し、認証タグの対象外となるため、攻撃者がそれらのバイトを検出されずに読み取ったり改ざんしたりできます。ハードウェアアクセラレーションされたストリームパスの低レベルOCB暗号化および復号化ルーチンは16バイトの完全なブロックのみを処理しますが、入力/出力ポインタを進めません。その後の末尾処理コードは元のポインタを使って動作するため、バッファの先頭部分を再処理し、実際の末尾バイトは処理されません。認証チェックサムも真の末尾バイトを含みません。ただし、EVPを使用する通常のOpenSSL利用者は影響を受けません。なぜなら上位のEVPおよびプロバイダOCB実装が入力を完全なブロックと部分的な末尾ブロックに分割して別々に処理し、問題のコードパスを回避しているためです。加えてTLSはOCB暗号スイートを使用しません。この脆弱性はハードウェアアクセラレーションビルドで非ブロックアラインされた長さの入力を単一呼び出しで低レベルのCRYPTO_ocb128_encrypt()またはCRYPTO_ocb128_decrypt()関数に直接渡すアプリケーションにのみ影響します。これらの理由から本件は低リスクと評価されました。3.6、3.5、3.4、3.3、3.2、3.1および3.0のFIPSモジュールはこの問題の影響を受けません。OCBモードはFIPS承認のアルゴリズムではないためです。OpenSSL 3.6、3.5、3.4、3.3、3.0および1.1.1はこの問題に脆弱です。OpenSSL 1.0.2は影響を受けません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。