NVD脆弱性詳細

CVE-2023-2975

概要	Issue summary: The AES-SIV cipher implementation contains a bug that causes it to ignore empty associated data entries which are unauthenticated as a consequence. Impact summary: Applications that use the AES-SIV algorithm and want to authenticate empty data entries as associated data can be misled by removing, adding or reordering such empty entries as these are ignored by the OpenSSL implementation. We are currently unaware of any such applications. The AES-SIV algorithm allows for authentication of multiple associated data entries along with the encryption. To authenticate empty data the application has to call EVP_EncryptUpdate() (or EVP_CipherUpdate()) with NULL pointer as the output buffer and 0 as the input buffer length. The AES-SIV implementation in OpenSSL just returns success for such a call instead of performing the associated data authentication operation. The empty data thus will not be authenticated. As this issue does not affect non-empty associated data authentication and we expect it to be rare for an application to use empty associated data entries this is qualified as Low severity issue.
公表日	2023年7月14日21:15
登録日	2023年7月15日10:00
最終更新日	2024年11月21日16:59

CVSS3.1 : MEDIUM
スコア	5.3
ベクター	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	不要
利用者の関与(UI)	不要
影響の想定範囲(S)	変更なし
機密性への影響(C)	なし
完全性への影響(I)	低
可用性への影響(A)	なし

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:openssl:openssl::::::::	3.0.0	3.0.9
cpe:2.3:a:openssl:openssl::::::::	3.1.0	3.1.1

構成2	以上	以下	より上	未満
cpe:2.3:a:netapp:ontap_select_deploy_administration_utility:-:::::::*
cpe:2.3:a:netapp:management_services_for_element_software_and_netapp_hci:-:::::::*

関連情報、対策とツール

No	URL	タグ
1	https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=00e2f5eea29994d19293ec4e8c8775ba73678598	Patch
2	https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=6a83f0c958811f07e0d11dfc6b5a6a98edfd5bdc	Patch
3	https://www.openssl.org/news/secadv/20230714.txt	Vendor Advisory
4	https://security.gentoo.org/glsa/202402-08
5	https://security.netapp.com/advisory/ntap-20230725-0004/
6	https://www.openssl.org/news/secadv/20230714.txt	Vendor Advisory
7	https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=6a83f0c958811f07e0d11dfc6b5a6a98edfd5bdc	Patch
8	http://www.openwall.com/lists/oss-security/2023/07/15/1
9	http://www.openwall.com/lists/oss-security/2023/07/19/5
10	https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=00e2f5eea29994d19293ec4e8c8775ba73678598	Patch

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-287	不適切な認証	https://cwe.mitre.org/data/definitions/287.html

JVN脆弱性情報

OpenSSL の AES-SIV 実装における関連データエントリが正しく認証されない問題 (Security Advisory [14th July 2023])

タイトル	OpenSSL の AES-SIV 実装における関連データエントリが正しく認証されない問題 (Security Advisory [14th July 2023])
概要	OpenSSL Project より、<a href="https://www.openssl.org/news/secadv/20230714.txt" target="blank">OpenSSL Security Advisory [14th July 2023] </a> (AES-SIV implementation ignores empty associated data entries (CVE-2023-2975)) が公開されました。深刻度 - 低 (Severity: Low) OpenSSL の AES-SIV 実装では、複数の関連データ (Associated Data) エントリの認証が可能です。この AES-SIV 実装には、空の関連データエントリの認証要求時にこれを無視し、認証処理を行わず成功を返してしまう問題があります。なお、OpenSSL Project は、この問題は空でない関連データの認証には影響せず、アプリケーションが空の関連データエントリを使用することは稀であるとしています。
想定される影響	AES-SIV 実装を使用し、空のデータエントリを関連データとして認証するアプリケーションにおいて、空の関連データを含ませることによって正しい認証処理が行われない可能性があります。
対策	[アップデートする] 開発者による本脆弱性公開時点では、深刻度が低であるため、OpenSSL git リポジトリにて、commit のみを提供していましたが、現地時間 2023年8月1日に本脆弱性を修正した以下のバージョンがリリースされました。　* OpenSSL 3.0.10 　* OpenSSL 3.1.2
公表日	2023年7月19日0:00
登録日	2023年7月20日14:16
最終更新日	2025年4月14日15:00

影響を受けるシステム

OpenSSL Project

OpenSSL 3.0.0から3.0.9

OpenSSL 3.1.0から3.1.1

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2023-2975	https://www.cve.org/CVERecord?id=CVE-2023-2975
National Vulnerability Database (NVD)
2	CVE-2023-2975	https://nvd.nist.gov/vuln/detail/CVE-2023-2975

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-287	https://jvndb.jvn.jp/ja/cwe/CWE-287.html

ベンダー情報

No	名前	URL
OpenSSL Project
1	OpenSSL 3.0 Series Release Notes	https://www.openssl.org/news/openssl-3.0-notes.html
2	OpenSSL 3.1 Series Release Notes	https://www.openssl.org/news/openssl-3.1-notes.html
3	OpenSSL Security Advisory [14th July 2023]	https://www.openssl.org/news/secadv/20230714.txt

その他

No	名前	URL
ICS-CERT ADVISORY
1	ICSA-23-320-13	https://www.cisa.gov/news-events/ics-advisories/icsa-23-320-13
2	ICSA-24-046-15	https://www.cisa.gov/news-events/ics-advisories/icsa-24-046-15
3	ICSA-24-319-08	https://www.cisa.gov/news-events/ics-advisories/icsa-24-319-08
4	ICSA-25-100-02	https://www.cisa.gov/news-events/ics-advisories/icsa-25-100-02
JVN
5	JVNVU#90506697	https://jvn.jp/vu/JVNVU90506697/
6	JVNVU#91198149	https://jvn.jp/vu/JVNVU91198149/index.html
7	JVNVU#92583151	http://jvn.jp/vu/JVNVU92583151/index.html
8	JVNVU#92598492	https://jvn.jp/vu/JVNVU92598492/
9	JVNVU#96191615	https://jvn.jp/vu/JVNVU96191615/index.html

変更履歴

No	変更内容	変更日
6	[2024年11月19日] 参考情報：JVN (JVNVU#96191615) を追加参考情報：ICS-CERT ADVISORY (ICSA-24-319-08) を追加	2024年11月18日17:03
5	[2024年03月18日] CVSS による深刻度：内容を更新 CWE による脆弱性タイプ一覧：内容を更新	2024年3月18日18:28
4	[2024年02月20日] 参考情報：JVN (JVNVU#91198149) を追加参考情報：ICS-CERT ADVISORY (ICSA-24-046-15) を追加	2024年2月20日16:48
3	[2023年11月22日] 参考情報：JVN (JVNVU#92598492) を追加参考情報：ICS-CERT ADVISORY (ICSA-23-320-13) を追加	2023年11月21日17:41
1	[2023年07月20日] 掲載	2023年7月20日14:16
2	[2023年08月03日] 対策：内容を更新ベンダ情報：OpenSSL Project (OpenSSL 3.0 Series Release Notes) を追加ベンダ情報：OpenSSL Project (OpenSSL 3.1 Series Release Notes) を追加	2023年8月3日15:26
7	[2025年04月14日] 参考情報：JVN (JJVNVU#90506697) を追加参考情報：ICS-CERT ADVISORY (ICSA-25-100-02) を追加	2025年4月14日13:39