CVE-2023-0401 in OpenSSL
要約
〜によって VulDB • 2026年07月02日
PKCS7署名付きデータまたはsignedAndEnvelopedデータの検証時に、NULLポインタが間接参照される可能性があります。署名に使用されたハッシュアルゴリズムがOpenSSLライブラリで認識されているものの、その実装が存在しない場合、ダイジェストの初期化処理は失敗します。初期化関数の戻り値に対するチェックが欠落しているため、その後ダイジェストAPIが無効な方法で使用され、クラッシュに至る可能性が高いです。
アルゴリズムの利用不可状態は、FIPS対応構成でプロバイダを使用した場合や、より一般的にはレガシー・プロバイダを読み込まなかった場合に発生します。
PKCS7データはSMIMEライブラリ呼び出しおよびタイムスタンプ(TS)ライブラリ呼び出しによって処理されます。OpenSSLのTLS実装ではこれらの関数は呼び出されませんが、信頼できないデータの署名検証にこれらの関数を呼び出すサードパーティ製アプリケーションは影響を受けます。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.