| タイトル | ATRODO (Jon Gentle)のNet::Dropbearにおける不特定の脆弱性 |
|---|---|
| 概要 | Perl向けのNet::Dropbearバージョン0.14未満には、脆弱なlibtomcryptが含まれており、この問題によりセキュリティリスクが発生します。 |
| 想定される影響 | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年4月21日0:00 |
| 登録日 | 2026年4月24日11:35 |
| 最終更新日 | 2026年4月24日11:35 |
| CVSS3.0 : 緊急 | |
| スコア | 10 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
| ATRODO (Jon Gentle) |
| Net::Dropbear 0.14 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年04月24日] 掲載 |
2026年4月24日11:35 |
| 概要 | The rsa_verify_hash_ex function in rsa_verify_hash.c in LibTomCrypt, as used in OP-TEE before 2.2.0, does not validate that the message length is equal to the ASN.1 encoded data length, which makes it easier for remote attackers to forge RSA signatures or public certificates by leveraging a Bleichenbacher signature forgery attack. |
|---|---|
| 公表日 | 2017年2月14日3:59 |
| 登録日 | 2021年1月26日14:14 |
| 最終更新日 | 2024年11月21日11:55 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:op-tee:op-tee_os:*:*:*:*:*:*:*:* | 2.1.0 | ||||
| 構成2 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:libtom:libtomcrypt:*:*:*:*:*:*:*:* | 1.17 | ||||
| 概要 | LibTomCrypt through 1.18.1 allows a memory-cache side-channel attack on ECDSA signatures, aka the Return Of the Hidden Number Problem or ROHNP. To discover an ECDSA key, the attacker needs access to either the local machine or a different virtual machine on the same physical host. |
|---|---|
| 公表日 | 2018年6月15日11:29 |
| 登録日 | 2021年3月1日18:49 |
| 最終更新日 | 2024年11月21日12:45 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:libtom:libtomcrypt:*:*:*:*:*:*:*:* | 1.18.1 | ||||
| 構成2 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:linaro:op-tee:*:*:*:*:*:*:*:* | 3.5.0 | ||||
| 概要 | Net::Dropbear versions before 0.14 for Perl contains a vulnerable version of libtomcrypt. Net::Dropbear versions before 0.14 includes versions of Dropbear 2019.78 or earlier. These include versions of libtomcrypt v1.18.1 or earlier, which is affected by CVE-2016-6129 and CVE-2018-12437. |
|---|---|
| 公表日 | 2026年4月22日1:16 |
| 登録日 | 2026年4月25日4:03 |
| 最終更新日 | 2026年4月23日2:35 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:atrodo:net\:\:dropbear:*:*:*:*:*:perl:*:* | 0.14 | ||||