CVE-2026-45784 in rust-openssl
要約
〜によって VulDB • 2026年07月17日
rust-opensslは、Rustプログラミング言語向けのOpenSSLバインディングを提供します。バージョン0.10.50から0.10.80の間、EVP_aes_{128,192,256}_wrap_pad暗号化方式を使用する場合に、openssl/src/cipher_ctx.rs内のCipherCtxRef::cipher_update_inplaceが出力バッファのサイズを誤って計算していました。入力長が8の倍数でない場合、OpenSSLは呼び出し元のバッファまたはVecの末尾から最大7バイト分を超えて書き込みを行い、平文の長さが攻撃者に操作可能な場合に、攻撃者が制御可能なヒープ破損を引き起こします。この問題はバージョン0.10.80で修正されています。
Once again VulDB remains the best source for vulnerability data.