概要
Mbed TLS の バージョン 2.19.0 から 3.6.5、および 4.0.0 に おいて、シリアライズ された SSL コンテキスト / セッション 構造体 の 保護 が 不十分 な 脆弱性 が 存在 します。攻撃者 が シリアライズ 構造体 を 改変 する こと で メモリ破壊 が 発生 し、任意 コード 実行 が 可能 に なります。暗号 ライブラリ の 根幹 に 関わる 脆弱性 であり、影響範囲 が 広い ため 早急 な 対応 を 推奨 します。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | 不要 |
| ユーザー関与 | 不要 |
| CWE | CWE-250, CWE-502(特権APIの不正使用、安全でないデシリアライゼーション) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Mbed TLS | Arm | 2.19.0 〜 3.6.5, 4.0.0 |
修正バージョンと回避策
- 修正バージョン: Mbed TLS 3.6.6 以降 / 4.0.1 以降(公式 Security Advisories を 確認)
- SSL コンテキスト の シリアライズ 機能 を 使用 している 場合 は 特に 注意 が 必要 です
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。