| タイトル | Open Quantum Safeのliboqsにおける複数の脆弱性 |
|---|---|
| 概要 | liboqsはポスト量子暗号アルゴリズムの実装を提供するC言語の暗号ライブラリです。バージョン0.16.0以前において、XMSSおよびXMSS^MTのステートフル署名検証コードに境界外読み取りの脆弱性が確認されました。検証関数が、与えられたパラメータセットの期待される署名サイズより短い署名バッファで呼び出された場合、実装は呼び出し元が指定した長さを検証せず、バッファの末尾を越えて読み取ります。境界外のバイトは内部のハッシュ計算の入力としてのみ消費され、呼び出し元に返されることはありません。そのため、攻撃者に内容を漏らすオラクルは存在しません。主な影響としては、読み取りがマップされていないメモリページにまたがる場合、検証プロセスがクラッシュし(サービス拒否が発生する)可能性があります。この脆弱性はバージョン0.16.0で修正されています。 |
| 想定される影響 | ・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアの一部が停止する可能性があります。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年5月29日0:00 |
| 登録日 | 2026年6月8日11:46 |
| 最終更新日 | 2026年6月8日11:46 |
| CVSS3.0 : 警告 | |
| スコア | 5.3 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
| Open Quantum Safe |
| liboqs 0.15.0 およびそれ以前 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月08日] 掲載 |
2026年6月8日11:46 |
| 概要 | liboqs is a C-language cryptographic library that provides implementations of post-quantum cryptography algorithms. Prior to 0.16.0, an out-of-bounds read has been identified in the XMSS and XMSS^MT stateful signature verification code. When the verification function is called with a signature buffer shorter than the expected signature size for the given parameter set, the implementation does not validate the caller-supplied length and proceeds to read past the end of the buffer. The out-of-bounds bytes are consumed only as input to an internal hash computation and are not returned to the caller, so no oracle exists to leak their contents to an attacker. The primary observable effect is a possible crash (denial of service) of the verifying process if the read crosses into an unmapped memory page. This vulnerability is fixed in 0.16.0. |
|---|---|
| 公表日 | 2026年5月30日4:16 |
| 登録日 | 2026年5月31日4:14 |
| 最終更新日 | 2026年6月5日3:36 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:openquantumsafe:liboqs:*:*:*:*:*:*:*:* | 0.15.0 | ||||