「Dual_EC_DRBG」に脆弱性、使用停止を強く推奨

拡大写真

独立行政法人 情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は11月8日、「Dual Elliptic Curve Deterministic Random Bit Generator（Dual_EC_DRBG）」に、楕円曲線を計算するためのパラメータの信頼性に関する問題が指摘されていると「Japan Vulnerability Notes（JVN）」で発表した。

NIST Special Publication 800-90A で規定されている乱数生成アルゴリズム「Dual_EC_DRBG」には、楕円曲線を計算するためのパラメータの信頼性に関する問題（CVE-2007-6755）が存在する。この問題により、Dual_EC_DRBGの出力を使用した共通鍵（secret key material）などを推測される可能性がある。NISTでは、対策が出るまでの間、Dual_EC_DRBG の使用停止を強く推奨している。

「Dual_EC_DRBG」に脆弱性、使用停止を強く推奨（JVN）

《吉澤亨史@ScanNetSecurity》

• 「改造版 TOWN」にクロスサイトスクリプティングの脆弱性（JVN）
• 「Tiki Wiki CMS Groupware」に複数の脆弱性（JVN）
• 「Verastream Host Integrator」にファイル上書きの脆弱性（JVN）