| タイトル | Deno Land Inc.のDenoにおける暗号化処理の不備に関する脆弱性 |
|---|---|
| 概要 | DenoはJavaScript、TypeScript、およびWebAssemblyのランタイムです。バージョン2.8.1以前では、node:crypto.checkPrime(candidate[, options][, callback])およびcrypto.checkPrimeSync(candidate[, options])は、呼び出し側がoptions.checksをデフォルトの0にしている場合、ミラー・ラビンテストを一切実行しませんでした。そのモードでは、候補に対して適用された唯一のテストは、17,863までの素数による試し割りでした。最小素因数がその境界を超える合成数、例えば17,881×17,891のような2つの素数の積は、「おそらく素数」としてtrueと報告されていました。同様の問題は、polyfillが呼び出す下位レベルのop_node_check_primeおよびop_node_check_prime_bytesの経路にも影響を及ぼしていました。この脆弱性はバージョン2.8.1で修正されました。 |
| 想定される影響 | ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年6月23日0:00 |
| 登録日 | 2026年6月29日11:14 |
| 最終更新日 | 2026年6月29日11:14 |
| CVSS3.0 : 重要 | |
| スコア | 7.4 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月29日] 掲載 |
2026年6月29日11:14 |
| 概要 | Deno is a JavaScript, TypeScript, and WebAssembly runtime. Prior to 2.8.1, node:crypto.checkPrime(candidate[, options][, callback]) and crypto.checkPrimeSync(candidate[, options]) ran no Miller-Rabin rounds at all when the caller left options.checks at its default of 0. In that mode, the only test applied to the candidate was trial division by the primes up to 17,863. Any composite whose smallest prime factor exceeds that bound — for example the product of two primes just above it, such as 17,881 × 17,891 — was reported as true ("probably prime"). The same divergence affected the lower-level op_node_check_prime / op_node_check_prime_bytes paths that the polyfill calls into. This vulnerability is fixed in 2.8.1. |
|---|---|
| 公表日 | 2026年6月24日3:18 |
| 登録日 | 2026年6月27日4:14 |
| 最終更新日 | 2026年6月27日4:27 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:deno:deno:*:*:*:*:*:*:*:* | 2.8.1 | ||||