公開日:2025/01/23 最終更新日:2025/01/23

JVNVU#95772889
OpenSSLにおける秘密鍵のタイミング攻撃に対する問題(OpenSSL Security Advisory [20th January 2025])

概要

OpenSSL Projectより、OpenSSL Security Advisory [20th January 2025]("Timing side-channel in ECDSA signature computation (CVE-2024-13176)")が公開されました。

影響を受けるシステム

  • OpenSSL 3.4.1より前の3.4系バージョン
  • OpenSSL 3.3.3より前の3.3系バージョン
  • OpenSSL 3.2.4より前の3.2系バージョン
  • OpenSSL 3.1.8より前の3.1系バージョン
  • OpenSSL 3.0.16より前の3.0系バージョン
  • OpenSSL 1.1.1zbより前の1.1.1系バージョン
  • OpenSSL 1.0.2zlより前の1.0.2系バージョン

詳細情報

深刻度-低(Severity:Low)
OpenSSLにおけるECDSA署名計算には、秘密鍵が復元される可能性のあるタイミング攻撃に対する問題(CWE-385CVE-2024-13176)が報告されています。
ただし、本問題を悪用するには、署名アプリケーションへのローカルアクセスまたは低レイテンシの高速ネットワーク接続が必須となるため、深刻度は低となっています。

想定される影響

秘密鍵を復元される可能性があります。

対策方法

アップデートする
開発者は本脆弱性を修正した以下バージョンをリリースしました。

  • OpenSSL 3.4.1(3.4系ユーザー向け)
  • OpenSSL 3.3.3(3.3系ユーザー向け)
  • OpenSSL 3.2.4(3.2系ユーザー向け)
  • OpenSSL 3.1.8(3.1系ユーザー向け)
  • OpenSSL 3.0.16(3.0系ユーザー向け)
  • OpenSSL 1.1.1zb(1.1.1系ユーザー向け)
  • OpenSSL 1.0.2zl(1.0.2系ユーザー向け)

ベンダ情報

ベンダ リンク
OpenSSL Project OpenSSL Security Advisory [20th January 2025]
github.com: 3.3.4 git commit 77c608f
github.com: 3.3.3 git commit 392dcb3
github.com: 3.2.4 git commit 4b1cb94
github.com: 3.1.8 git commit 2af62e7
github.com: 3.0.16 git commit 07272b0
github.openssl.org: 1.1.1zb git commit a263900(要ログイン)
github.openssl.org: 1.0.2zl git commit 0d5fd1a(要ログイン)

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia