ハッシュ アルゴリズムがセキュリティで保護されていません
メッセージ ダイジェストの作成に使用されるコンテキストが脆弱なアルゴリズムに関連付けられている
説明
この欠陥は、特定の形式の攻撃に対して脆弱であると証明されている暗号化ハッシュ関数を使用した場合に発生します。
このチェッカーによりフラグが設定されるハッシュ関数には、SHA-0、SHA-1、MD4、MD5、RIPEMD-160 などがあります。チェッカーは、以下におけるこれらのハッシュ関数の使用を検出します。
EVP_DigestUpdate
やEVP_SignUpdate
など、EVP API の関数。SHA1_Update
やMD5_Update
など、低レベル API の関数。
リスク
ハッシュ関数を使用して入力データからメッセージ ダイジェストを作成することで、データの整合性を確保します。このチェッカーによりフラグが設定されたハッシュ関数では、攻撃者が悪用するおそれのある既知の脆弱性のあるアルゴリズムが使用されています。攻撃がデータの整合性を含む可能性があります。
修正方法
より安全なハッシュ関数を使用します。たとえば、SHA-224、SHA-256、SHA-384、SHA-512 など、より最近の SHA 関数を使用します。
例
結果情報
グループ: 暗号化 |
言語: C | C++ |
既定値: オフ |
コマンド ライン構文: CRYPTO_MD_WEAK_HASH |
影響度: Medium |
バージョン履歴
R2018a で導入