CVE-2018-0734 [中] | Security Vulnerability（Openssl）

The OpenSSL DSA signature algorithm has been shown to be vulnerable to a timing side channel attack. An attacker could use variations in the signing algorithm to recover the private key. Fixed in OpenSSL 1.1.1a (Affected 1.1.1). Fixed in OpenSSL 1.1.0j (Affected 1.1.0-1.1.0i). Fixed in OpenSSL 1.0.2q (Affected 1.0.2-1.0.2p).

#	日付	旧 EPSS スコア	新 EPSS スコア	Δ（新 − 旧）
1	2026-05-22	6.05%	5.06%	-0.99%
2	2026-03-04	3.47%	6.05%	+2.58%
3	2026-03-01	—	3.47%	—

日付

旧 EPSS スコア

新 EPSS スコア

Δ（新 − 旧）

2026-05-22

6.05%

5.06%

-0.99%

2026-03-04

3.47%

6.05%

+2.58%

2026-03-01

—

3.47%

—

ベーススコア	バージョン	深刻度	ベクトル	悪用しやすさ	影響	スコアの出典
5.9	3.1	MEDIUM	`CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N` クリックして展開攻撃ベクター (AV:N) インターネットなど、ルーティングされたネットワーク越しに遠隔から悪用しうる。端末の前にいる必要はない。攻撃の複雑さ (AC:H) 到達できても、タイミング・負荷・周辺設定など、揃わないと成功しない局面が多い。必要な権限 (PR:N) 事前のログインや昇格は不要で、匿名アクセスのまま踏み台にしうる。ユーザーの関与 (UI:N) メールのリンクを開く、マクロを有効にするなど、被害者の協力がなくても成立しうる。スコープ (S:U) 影響は脆弱コンポーネントと同一のセキュリティ権限・信頼境界の内側に収まる。機密性への影響 (C:H) 広範な機微データの読み取りや持ち出しが現実的。完全性への影響 (I:N) 改ざん・なりすましによる信頼毀損は軽微か、想定されない。可用性への影響 (A:N) 業務継続に支障が出るレベルの停止や劣化は想定されない。	2.2	3.6	[email protected]
4.3	2.0	MEDIUM	`AV:N/AC:M/Au:N/C:P/I:N/A:N` クリックして展開アクセス経路 (AV:N) ルーティング可能なネットワーク越しに、遠隔から到達・悪用しうる。アクセスの複雑さ (AC:M) 多少の有利条件は要るが、極端なレアケースではない。認証 (AU:N) 認証を経ずに攻撃を完結できる。機密性への影響 (C:P) 機密性は部分的に損なわれる。完全性への影響 (I:N) 完全性は損なわれない。可用性への影響 (A:N) 可用性は損なわれない。	8.6	2.9	[email protected]

ベーススコア

バージョン

深刻度

ベクトル

悪用しやすさ

影響

スコアの出典

5.9

3.1

MEDIUM

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N クリックして展開

攻撃ベクター (AV:N): インターネットなど、ルーティングされたネットワーク越しに遠隔から悪用しうる。端末の前にいる必要はない。
攻撃の複雑さ (AC:H): 到達できても、タイミング・負荷・周辺設定など、揃わないと成功しない局面が多い。
必要な権限 (PR:N): 事前のログインや昇格は不要で、匿名アクセスのまま踏み台にしうる。
ユーザーの関与 (UI:N): メールのリンクを開く、マクロを有効にするなど、被害者の協力がなくても成立しうる。
スコープ (S:U): 影響は脆弱コンポーネントと同一のセキュリティ権限・信頼境界の内側に収まる。
機密性への影響 (C:H): 広範な機微データの読み取りや持ち出しが現実的。
完全性への影響 (I:N): 改ざん・なりすましによる信頼毀損は軽微か、想定されない。
可用性への影響 (A:N): 業務継続に支障が出るレベルの停止や劣化は想定されない。

2.2

3.6

[email protected]

4.3

2.0

MEDIUM

AV:N/AC:M/Au:N/C:P/I:N/A:N クリックして展開

アクセス経路 (AV:N): ルーティング可能なネットワーク越しに、遠隔から到達・悪用しうる。
アクセスの複雑さ (AC:M): 多少の有利条件は要るが、極端なレアケースではない。
認証 (AU:N): 認証を経ずに攻撃を完結できる。
機密性への影響 (C:P): 機密性は部分的に損なわれる。
完全性への影響 (I:N): 完全性は損なわれない。
可用性への影響 (A:N): 可用性は損なわれない。

8.6

2.9

[email protected]

CVE-2018-0734 の OS トラッカー

vendor	priority	summary	link
`alpine`	medium	CVE-2018-0734: 5 source package rows (nodejs, nodejs-current, openssl, openssl1.1-compat, openssl3); 32 state rows across 17 repos (3.10-main, 3.11-main, 3.12-main, 3.17-community, 3.17-main, 3.18-community, 3.18-main, 3.19-community, 3.19-main, 3.20-community, 3.20-main, 3.21-community, 3.21-main, 3.22-community, 3.22-main, edge-community, edge-main); fixed 32, open 0.	https://security.alpinelinux.org/vuln/CVE-2018-0734
`debian`	not yet assigned	CVE-2018-0734 not yet assigned priority: Debian including 1 source packages (openssl), 5 status rows across 5 suites (bookworm, bullseye, forky, sid, trixie): resolved 5.	https://security-tracker.debian.org/tracker/CVE-2018-0734
`redhat`	low	—	https://access.redhat.com/security/cve/CVE-2018-0734
`suse`	medium	CVE-2018-0734 severity moderate: SUSE including 490 source package names (0.9.1:libopenssl1_0_0-1.0.2j-60.46.1, 0.9.1:openssl-1.0.2j-60.46.1, …), 966 product×package rows across 148 product lines (Container caasp/v4/default-http-backend, Container caasp/v4/dnsmasq-nanny, … (148 product lines)): Fixed 678, Known Affected 157, Known Not Affected 131.	https://www.suse.com/security/cve/CVE-2018-0734/
`ubuntu`	low	CVE-2018-0734 low priority: Ubuntu including 3 source packages (openssl, openssl098, openssl1.0), 30 status rows across 10 suites (bionic, cosmic, disco, eoan, focal, groovy, hirsute, trusty, upstream, xenial): DNE 16, released 11, needs-triage 3.	https://ubuntu.com/security/CVE-2018-0734

CVE-2018-0734 の影響を受けるソフトウェア／構成

ベンダー	製品	バージョン	生の CPE
openssl	openssl	>= 1.0.2, <= 1.0.2p	cpe:2.3:a:openssl:openssl::::::::
openssl	openssl	>= 1.1.0, <= 1.1.0i	cpe:2.3:a:openssl:openssl::::::::
openssl	openssl	1.1.1	cpe:2.3:a:openssl:openssl:1.1.1:::::::*
canonical	ubuntu_linux	14.04	cpe:2.3:o:canonical:ubuntu_linux:14.04::::lts:::
canonical	ubuntu_linux	16.04	cpe:2.3:o:canonical:ubuntu_linux:16.04::::lts:::
canonical	ubuntu_linux	18.04	cpe:2.3:o:canonical:ubuntu_linux:18.04::::lts:::
canonical	ubuntu_linux	18.10	cpe:2.3:o:canonical:ubuntu_linux:18.10:::::::*
debian	debian_linux	9.0	cpe:2.3:o:debian:debian_linux:9.0:::::::*
nodejs	node.js	>= 6.0.0, <= 6.8.1	cpe:2.3:a:nodejs:node.js:::::-:::*
nodejs	node.js	>= 6.9.0, < 6.15.0	cpe:2.3:a:nodejs:node.js:::::lts:::*
nodejs	node.js	>= 8.0.0, <= 8.8.1	cpe:2.3:a:nodejs:node.js:::::-:::*
nodejs	node.js	>= 8.9.0, < 8.14.0	cpe:2.3:a:nodejs:node.js:::::lts:::*
nodejs	node.js	>= 10.0.0, <= 10.12.0	cpe:2.3:a:nodejs:node.js:::::-:::*
nodejs	node.js	>= 11.0.0, < 11.3.0	cpe:2.3:a:nodejs:node.js:::::-:::*
nodejs	node.js	10.13.0	cpe:2.3:a:nodejs:node.js:10.13.0::::lts:::
netapp	cn1610_firmware	—	cpe:2.3:o:netapp:cn1610_firmware:-:::::::*
netapp	cloud_backup	—	cpe:2.3:a:netapp:cloud_backup:-:::::::*
netapp	oncommand_unified_manager	—	cpe:2.3:a:netapp:oncommand_unified_manager::::::::
netapp	santricity_smi-s_provider	—	cpe:2.3:a:netapp:santricity_smi-s_provider:-:::::::*
netapp	snapcenter	—	cpe:2.3:a:netapp:snapcenter:-:::::::*
netapp	steelstore	—	cpe:2.3:a:netapp:steelstore:-:::::::*
netapp	storage_automation_store	—	cpe:2.3:a:netapp:storage_automation_store:-:::::::*
oracle	api_gateway	11.1.2.4.0	cpe:2.3:a:oracle:api_gateway:11.1.2.4.0:::::::*
oracle	e-business_suite_technology_stack	0.9.8	cpe:2.3:a:oracle:e-business_suite_technology_stack:0.9.8:::::::*
oracle	e-business_suite_technology_stack	1.0.0	cpe:2.3:a:oracle:e-business_suite_technology_stack:1.0.0:::::::*
oracle	e-business_suite_technology_stack	1.0.1	cpe:2.3:a:oracle:e-business_suite_technology_stack:1.0.1:::::::*
oracle	enterprise_manager_base_platform	12.1.0.5.0	cpe:2.3:a:oracle:enterprise_manager_base_platform:12.1.0.5.0:::::::*
oracle	enterprise_manager_base_platform	13.2.0.0.0	cpe:2.3:a:oracle:enterprise_manager_base_platform:13.2.0.0.0:::::::*
oracle	enterprise_manager_base_platform	13.3.0.0.0	cpe:2.3:a:oracle:enterprise_manager_base_platform:13.3.0.0.0:::::::*
oracle	enterprise_manager_ops_center	12.3.3	cpe:2.3:a:oracle:enterprise_manager_ops_center:12.3.3:::::::*
oracle	mysql_enterprise_backup	>= 3.0, <= 3.12.3	cpe:2.3:a:oracle:mysql_enterprise_backup::::::::
oracle	mysql_enterprise_backup	>= 4.0, <= 4.1.2	cpe:2.3:a:oracle:mysql_enterprise_backup::::::::
oracle	peoplesoft_enterprise_peopletools	8.55	cpe:2.3:a:oracle:peoplesoft_enterprise_peopletools:8.55:::::::*
oracle	peoplesoft_enterprise_peopletools	8.56	cpe:2.3:a:oracle:peoplesoft_enterprise_peopletools:8.56:::::::*
oracle	peoplesoft_enterprise_peopletools	8.57	cpe:2.3:a:oracle:peoplesoft_enterprise_peopletools:8.57:::::::*
oracle	primavera_p6_professional_project_management	>= 17.7, <= 17.12	cpe:2.3:a:oracle:primavera_p6_professional_project_management::::::::
oracle	primavera_p6_professional_project_management	8.4	cpe:2.3:a:oracle:primavera_p6_professional_project_management:8.4:::::::*
oracle	primavera_p6_professional_project_management	15.1	cpe:2.3:a:oracle:primavera_p6_professional_project_management:15.1:::::::*
oracle	primavera_p6_professional_project_management	15.2	cpe:2.3:a:oracle:primavera_p6_professional_project_management:15.2:::::::*
oracle	primavera_p6_professional_project_management	16.1	cpe:2.3:a:oracle:primavera_p6_professional_project_management:16.1:::::::*
oracle	primavera_p6_professional_project_management	16.2	cpe:2.3:a:oracle:primavera_p6_professional_project_management:16.2:::::::*
oracle	primavera_p6_professional_project_management	18.8	cpe:2.3:a:oracle:primavera_p6_professional_project_management:18.8:::::::*
oracle	tuxedo	12.1.1.0.0	cpe:2.3:a:oracle:tuxedo:12.1.1.0.0:::::::*

CVE-2018-0734 の参考情報

URL	タグ
http://lists.opensuse.org/opensuse-security-announce/2019-06/msg00030.html	Mailing List Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2019-07/msg00056.html	Mailing List Third Party Advisory
http://www.securityfocus.com/bid/105758	Third Party Advisory VDB Entry
https://access.redhat.com/errata/RHSA-2019:2304	Third Party Advisory
https://access.redhat.com/errata/RHSA-2019:3700	Third Party Advisory
https://access.redhat.com/errata/RHSA-2019:3932	Third Party Advisory
https://access.redhat.com/errata/RHSA-2019:3933	Third Party Advisory
https://access.redhat.com/errata/RHSA-2019:3935	Third Party Advisory
https://git.openssl.org/gitweb/?p=openssl.git%3Ba=commitdiff%3Bh=43e6a58d4991a451daf4891ff05a48735df871ac
https://git.openssl.org/gitweb/?p=openssl.git%3Ba=commitdiff%3Bh=8abfe72e8c1de1b95f50aa0d9134803b4d00070f
https://git.openssl.org/gitweb/?p=openssl.git%3Ba=commitdiff%3Bh=ef11e19d1365eea2b1851e6f540a0bf365d303e7
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/EWC42UXL5GHTU5G77VKBF6JYUUNGSHOM/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/Y3IVFGSERAZLNJCK35TEM2R4726XIH3Z/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/ZBEV5QGDRFUZDMNECFXUSN5FMYOZDE4V/
https://nodejs.org/en/blog/vulnerability/november-2018-security-releases/	Third Party Advisory
https://security.netapp.com/advisory/ntap-20181105-0002/	Third Party Advisory
https://security.netapp.com/advisory/ntap-20190118-0002/	Third Party Advisory
https://security.netapp.com/advisory/ntap-20190423-0002/	Third Party Advisory
https://usn.ubuntu.com/3840-1/	Third Party Advisory
https://www.debian.org/security/2018/dsa-4348	Third Party Advisory
https://www.debian.org/security/2018/dsa-4355	Third Party Advisory
https://www.openssl.org/news/secadv/20181030.txt	Vendor Advisory
https://www.oracle.com/security-alerts/cpuapr2020.html	Third Party Advisory
https://www.oracle.com/security-alerts/cpujan2020.html	Third Party Advisory
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html	Patch Third Party Advisory
https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html	Patch Third Party Advisory
https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html	Patch Third Party Advisory
https://www.tenable.com/security/tns-2018-16	Third Party Advisory
https://www.tenable.com/security/tns-2018-17	Third Party Advisory

URL

タグ

http://lists.opensuse.org/opensuse-security-announce/2019-06/msg00030.html

Mailing List Third Party Advisory

http://lists.opensuse.org/opensuse-security-announce/2019-07/msg00056.html

Mailing List Third Party Advisory

http://www.securityfocus.com/bid/105758

Third Party Advisory VDB Entry

https://access.redhat.com/errata/RHSA-2019:2304

Third Party Advisory

https://access.redhat.com/errata/RHSA-2019:3700

Third Party Advisory