Aescrypt は十分な乱数を使用していない

この脆弱性は、攻撃者が選択平文攻撃を実行することで、aescrypt gemによって暗号化されたデータを復号化できることを意味します。攻撃者は、特定の平文を入力することで、暗号化されたデータのパターンを推測し、最終的に鍵を特定する可能性があります。これにより、機密情報が漏洩するリスクがあります。特に、aescrypt gemを使用して機密データを保存または転送するアプリケーションは、この脆弱性によって深刻な影響を受ける可能性があります。この攻撃手法は、暗号化されたデータの完全性を損ない、機密情報の漏洩や改ざんにつながる可能性があります。

Applications and systems that rely on the aescrypt Ruby gem for encryption, particularly those using versions 1.0.0 or earlier, are at risk. This includes older Ruby on Rails applications and any custom Ruby scripts that utilize the gem for data protection. Shared hosting environments where multiple applications might be using the gem are also at increased risk.

• ruby / gem: Check gemfile.lock for aescrypt versions <= 1.0.0. Use gem list aescrypt to identify installed versions.

gem list aescrypt | grep '1.0.0'

• ruby / application code: Search code for calls to AESCrypt.encrypt and AESCrypt.decrypt. • generic / log analysis: Monitor application logs for unusual encryption/decryption patterns or errors related to the aescrypt gem.

1. 2013-06-19Discovery

   discovery

2. 2017-10-24Disclosure

   disclosure

1. 公開日2017-10-24
2. 更新日2024-02-16
3. EPSS 更新日2026-04-02

この脆弱性に対する最も効果的な対策は、aescrypt gemを最新バージョンにアップデートすることです。最新バージョンでは、CBC IVのランダム化が適切に行われるよう修正されています。もしアップデートが困難な場合は、一時的な回避策として、aescrypt gemを使用するアプリケーションの入力を検証し、攻撃者が選択平文攻撃を実行できないように制限することを検討してください。また、WAF（Web Application Firewall）を導入し、悪意のあるリクエストをブロックすることも有効です。アップデート後、暗号化されたデータの整合性を確認し、脆弱性が修正されていることを確認してください。