ブログ IP住所検索
CWE一覧に戻る
CWE-593

認証バイパス:SSLオブジェクトが作成された後にOpenSSLのCTXオブジェクトが変更される

Authentication Bypass: OpenSSL CTX Object Modified after SSL Objects are Created
脆弱性 レビュー中
日本語説明
JA

本製品は、接続作成開始後にSSLコンテキストを変更します。

SSLオブジェクトを作成した後に、プログラムがSSL_CTXオブジェクトを変更した場合、元のコンテキストから作成された古いSSLオブジェクトがすべてその変更の影響を受ける可能性があります。

原文 (English)
EN

The product modifies the SSL context after connection creation has begun.

If the program modifies the SSL_CTX object after creating SSL objects from it, there is the possibility that older SSL objects created from the original context could all be affected by that change.

関連する脆弱性
CWE-666 ライフタイムの誤ったフェーズにおけるリソースへの操作 CWE-1390 弱い認証
想定される影響
Scope: Access Control / Impact: Bypass Protection Mechanism
Scope: Confidentiality / Impact: Read Application Data
対策・緩和策
Use a language or a library that provides a cryptography framework at a higher level of abstraction.
Most SSL_CTX functions have SSL counterparts that act on SSL-type objects.
Applications should set up an SSL_CTX completely, before creating SSL objects from it.
外部リンク
MITRE公式ページ — CWE-593