うるふブログ

組み込みシステムを取り巻く環境は急速に進化し続けており、使い慣れた開発ツールやRTOSとシームレスに統合可能かつ堅牢なセキュリティソリューションが求められています。
この度、wolfSSLの包括的なセキュリティスイートでHighTecコンパイラとRTOSをサポートしました。これにより、さらに多くの組み込みアプリケーションにエンタープライズグレードの暗号機能がもたらされます。 High…… もっと読む

wolfSSL は、wolfTPM において TPM 2.0 Specification v1.85 に準拠した耐量子暗号（Post-Quantum Cryptography: PQC）のサポートを追加したことを発表します。これにより、将来の量子コンピュータによる攻撃に耐えうる鍵管理および認証機能を、TPM ベースの設計で実現できるようになります。 なぜ TPM に PQC が必要…… もっと読む

影響を受けるユーザ Curve25519の秘密鍵操作にC実装ビルドを使用するwolfSSLユーザ。
この脆弱性は、アセンブリ最適化実装（ARMまたはIntel）、小フットプリントCurve25519ビルド、ハードウェアオフロード実装を使用するビルドには影響しません。 概要 wolfSSLのCurve25519秘密鍵操作のC実装において、潜在的なサイドチャネル脆弱性が発見さ…… もっと読む

影響を受けるユーザ v5.8.2より前のwolfSSLでOpenSSL互換レイヤーを用いて、RAND_bytes()とfork()操作の両方を呼び出すアプリケーションを使用するユーザ。 これは内部TLS操作やRAND_bytes()を明示的に使用しないアプリケーションには影響しません。 概要 wolfSSLのOpenSSL互換レイヤーにおいて、RAND_poll()関数が…… もっと読む

影響を受けるユーザ wolfSSL v5.6.4〜v5.8.0をApple製デバイスで使用しているユーザ。 特に、WOLFSSL_SYS_CA_CERTSとWOLFSSL_APPLE_NATIVE_CERT_VALIDATIONが有効な状態でビルドされている場合に影響します。これらのオプションはautotoolsまたはCMakeを使用する際、Apple製デバイス(macOSを除く)の…… もっと読む

影響を受けるユーザ フォールトインジェクション攻撃の影響を受ける可能性のあるデバイスでECCまたはEd25519署名検証操作を実行するユーザ、特にセキュアブート実装などのセキュリティクリティカルなアプリケーションを実行しているケースで注意が必要です。 概要 wolfSSLのECCおよびEd25519署名検証操作において、フォールトインジェクション攻撃に対する潜在的な脆弱性が発見…… もっと読む

影響を受けるユーザ v1.4.21より前のwolfSSHでSFTPサーバを使用しているユーザ 概要 wolfSSHのSFTPサーバ実装においてスタックオーバーフローの脆弱性が発見されました。SFTP接続が確立された後、悪意のあるSFTPクライアントが特別に細工された読み取り、書き込み、状態設定のSFTPパケットを送信することで、SFTPサーバコードがスタック境界を超えて書き込み…… もっと読む