CVE-2023-0401 in OpenSSL情報

要約

〜によって VulDB • 2026年07月02日

PKCS7署名付きデータまたはsignedAndEnvelopedデータの検証時に、NULLポインタが間接参照される可能性があります。署名に使用されたハッシュアルゴリズムがOpenSSLライブラリで認識されているものの、その実装が存在しない場合、ダイジェストの初期化処理は失敗します。初期化関数の戻り値に対するチェックが欠落しているため、その後ダイジェストAPIが無効な方法で使用され、クラッシュに至る可能性が高いです。

アルゴリズムの利用不可状態は、FIPS対応構成でプロバイダを使用した場合や、より一般的にはレガシー・プロバイダを読み込まなかった場合に発生します。

PKCS7データはSMIMEライブラリ呼び出しおよびタイムスタンプ(TS)ライブラリ呼び出しによって処理されます。OpenSSLのTLS実装ではこれらの関数は呼び出されませんが、信頼できないデータの署名検証にこれらの関数を呼び出すサードパーティ製アプリケーションは影響を受けます。

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

予約する

2023年01月19日

モデレーション

承諾済み

エントリ

VDB-220356

EPSS

0.01846

アクティビティ

非常低い

セクター

Police, Pharma, ...

ソース

Want to stay up to date on a daily basis?

Enable the mail alert feature now!