JVNVU#92583151
OpenSSLのAES-SIV実装における関連データエントリが正しく認証されない問題（Security Advisory [14th July 2023]）

OpenSSL Projectより、OpenSSL Security Advisory [14th July 2023]（AES-SIV implementation ignores empty associated data entries (CVE-2023-2975)）が公開されました。

• OpenSSL 3.0.0から3.0.9
• OpenSSL 3.1.0から3.1.1

OpenSSL Projectより、OpenSSL Security Advisory [14th July 2023]が公開されました。

深刻度 - 低（Severity: Low）
OpenSSLのAES-SIV実装では、複数の関連データ（Associated Data）エントリの認証が可能です。このAES-SIV実装には、空の関連データエントリの認証要求時にこれを無視し、認証処理を行わず成功を返してしまう問題があります。
なお、OpenSSL Projectは、この問題は空でない関連データの認証には影響せず、アプリケーションが空の関連データエントリを使用することは稀であるとしています。

AES-SIV実装を使用し、空のデータエントリを関連データとして認証するアプリケーションにおいて、空の関連データを含ませることによって正しい認証処理が行われない可能性があります。

アップデートする
開発者による本脆弱性公開時点では、深刻度が低であるため、OpenSSL gitリポジトリにて、commitのみを提供していましたが、現地時間2023年8月1日に本脆弱性を修正した以下のバージョンがリリースされました。

• OpenSSL 3.0.10
• OpenSSL 3.1.2