Forge に ASN.1 の余分なフィールドが原因で RSA-PKCS における署名の偽造の脆弱性

この脆弱性（CVE-2026-33894）は、forgeライブラリのRSASSA PKCS#1 v1.5署名検証機能において、低い公開指数（e=3）を持つ鍵を使用している場合に、偽造署名を許容する可能性があります。攻撃者は、ASN構造体内に「ガベージ」バイトを挿入することで、検証を通過する署名を構築し、Bleichenbacherスタイルの偽造攻撃を実行できる可能性があります。具体的には、ASN構造体内の追加フィールドにバイトを追加することで、CVE-2022-24771とは異なる手法で署名を偽造します。さらに、仕様で定義されているように、署名に8バイト以上のパディングが含まれていることを検証していないため、攻撃者はパディングを省略した偽造署名を作成できます。この脆弱性が悪用されると、デジタル署名を利用した認証プロセスが迂回され、機密データの漏洩、なりすましによる不正アクセス、改ざんされたデータの利用といった深刻な被害が発生する可能性があります。影響を受ける可能性のあるデータには、電子メール、ドキュメント、ソフトウェアアップデートなどが含まれます。攻撃者の影響範囲は、forgeライブラリを使用しているアプリケーションの利用状況に依存し、広範囲に及ぶ可能性があります。

1. 予約済み2026-03-24
2. 公開日2026-03-26
3. 更新日2026-03-31
4. EPSS 更新日2026-04-04

この脆弱性に対処するためには、forgeライブラリをバージョン1.4.0以降にアップグレードすることを強く推奨します。アップグレードが直ちに実行できない場合は、署名検証を行う前に、パディングの長さを手動で検証するなどの回避策を講じる必要があります。パディングの検証は、署名に含まれるパディングが8バイト以上であることを確認する処理です。この回避策は、署名検証プロセスに遅延が発生する可能性があるため、パフォーマンスへの影響を考慮する必要があります。アップグレードまたは回避策の適用後、署名検証プロセスが正しく機能していることを確認するために、徹底的なテストを実施することを推奨します。特に、パディングの検証が正しく実装されているか、公開指数が安全な値であるかを確認することが重要です。脆弱性修正の適用順序は、forgeライブラリを使用している他の依存関係との互換性を考慮して決定する必要があります。