概要
Python 向け ASN.1 ライブラリ pyasn1 に おいて、深く ネスト された ASN.1 構造 の デコード 時 に 制御 されない 再帰 が 発生 し、サービス 拒否(DoS)に 至る 脆弱性 が 存在 します。CWE-674(制御されない再帰)に 分類 されます。
攻撃者 が 細工 した ASN.1 データ を 送信 する こと で、pyasn1 を 使用 して いる アプリケーション の スタック を 枯渇 させ、クラッシュ を 引き起こす こと が 可能 です。TLS 証明書 の パース など で pyasn1 を 利用 して いる サービス は 影響 を 受ける 可能性 が あります。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 7.5 (High) |
| CWE | CWE-674(制御されない再帰) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な権限 | 不要 |
| ユーザー操作 | 不要 |
影響を受けるソフトウェア
- pyasn1(0.6.3 未満)
修正バージョンと回避策
- 修正バージョン: pyasn1 0.6.3
- 暫定回避策: 入力 データ の サイズ や ネスト 深度 を アプリケーション レベル で 制限 する こと を 検討
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。