cjose-0.6.1-13.el9

エラータID: AXSA:2023-6285:01

リリース日: 
2023/08/03 Thursday - 04:18
題名: 
cjose-0.6.1-13.el9
影響のあるチャネル: 
MIRACLE LINUX 9 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- mod_auth_openidc の AES GCM 復号化処理には、JSON Web Encryption
形式のデータから取得した認証タグの長さを誤って処理してしまう問題が
あるため、リモートの攻撃者により、細工された認証タグを介して、JSON
Web Encryption 形式のデータの改竄を可能とする脆弱性が存在します。
(CVE-2023-37464)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2023-37464
OpenIDC/cjose is a C library implementing the Javascript Object Signing and Encryption (JOSE). The AES GCM decryption routine incorrectly uses the Tag length from the actual Authentication Tag provided in the JWE. The spec says that a fixed length of 16 octets must be applied. Therefore this bug allows an attacker to provide a truncated Authentication Tag and to modify the JWE accordingly. Users should upgrade to a version >= 0.6.2.2. Users unable to upgrade should avoid using AES GCM encryption and replace it with another encryption algorithm (e.g. AES CBC).
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. cjose-0.6.1-13.el9.src.rpm
    MD5: 96639d42a4eeaa9f7755671c93d25bc7
    SHA-256: a661a7769ad58d53ba3910ff621bf805b785764091c7ffbb2cf7d40c7b108741
    Size: 1.52 MB

Asianux Server 9 for x86_64
  1. cjose-0.6.1-13.el9.i686.rpm
    MD5: 659009c31b30cb26d6d9df9e795cfe98
    SHA-256: 24bf426894f8094b9ec74fb8a969be569893c3d9cdb5d7add38889630723d5ce
    Size: 183.02 kB
  2. cjose-0.6.1-13.el9.x86_64.rpm
    MD5: 0e29c9a30483476fb9a24254fd7edad3
    SHA-256: 7661350b68677075de1af9a2f78b5c92ae01baf82b197cb504ba7686ff92b0c6
    Size: 179.57 kB