公開日:2007/05/22 最終更新日:2007/07/02
JVNVU#754281
RSA BSAFE Cert-C および Crypto-C にサービス運用妨害 (DoS) の脆弱性
RSA BSAFE Cert-C および Crypto-C にはサービス運用妨害 (DoS) の脆弱性が存在します。
- Crypto-C 6.3.1 より前のバージョン
- Cert-C 2.8 より前のバージョン
RSAセキュリティが提供するその他の製品は、本脆弱性の影響を受けません。
本脆弱性は Crypto-C 6.3.1、Cert-C 2.8 で修正されています。
RSAセキュリティが提供する RSA BSAFE Cert-C および Crypto-C は、それぞれデジタル証明書の処理や暗号アルゴリズムを実装するための C/C++言語のためのライブラリです。
RSA BSAFE Cert-C および Crypto-C には細工された ASN.1 オブジェクトの処理に問題があり、ライブラリが無限ループに陥る問題があります。
遠隔の第三者により、サービス運用妨害攻撃 (DoS) を受ける可能性があります。
アップグレードする
本脆弱性を修正した Crypto-C 6.3.1、Cert-C 2.8 がベンダから提供されています。当該製品のユーザは修正版へアップグレードすることが推奨します。修正版の入手方法に関しては、ベンダにお問い合わせ下さい。なお RSA は本脆弱性に Bug ID 46337 を割り当てています。ベンダへお問い合わせの際にこの Bug ID をご利用下さい。
| ベンダ | ステータス | ステータス 最終更新日 |
ベンダの告知ページ |
|---|---|---|---|
| 富士通 | 該当製品あり | 2007/07/02 | 富士通 の告知ページ |
| 日立 | 該当製品なし:調査中 | 2007/05/24 | |
| 日本電気 | 該当製品なし:調査中 | 2007/05/22 | |
| 任天堂 | 該当製品なし | 2007/05/22 | |
| 株式会社ソニー・コンピュータエンタテインメント | 該当製品あり | 2007/05/22 |
| ベンダ | リンク |
| RSA Security | RSA BSAFE Cert-C |
| RSA BSAFE Crypto-C | |
| Cisco | http://www.cisco.com/warp/public/707/cisco-sa-20070522-crypto.shtml |
- US-CERT Vulnerability Note VU#754281
RSA BSAFE libraries vulnerable to denial of service - CPNI Advisory 137
Cisco Security Advisory: Vulnerability In Crypto Library Advisory ID: cisco-sa-20070522-crypto
における脆弱性分析結果
| 評価尺度 | 攻撃成立条件 | 評価値 |
|---|---|---|
| 攻撃経路 | インターネット経由からの攻撃が可能。 |
|
| 認証レベル | 匿名もしくは認証なしで攻撃が可能。 |
|
| 攻撃成立に必要なユーザーの関与 | ユーザが何もしなくても攻撃される可能性あり。 |
|
| 攻撃の難易度 | 専門的知識や運がなくとも攻撃可能。 |
|
| JPCERT REPORT | JPCERT-WR-2007-2001 JPCERT/CC REPORT 2007-05-30 |
| CVE | CVE-2006-3894 |
- 2007/05/23
- CVE を追加しました。
- 2007/05/23
- CPNI Advisory へのリンクを追加しました。
- 2007/05/24
- 日立の JVNVU#754281への対応が更新されました。
- 2007/05/30
- JPCERT REPORT へのリンクを追加しました。
- 2007/06/18
- 富士通の JVNVU#754281への対応が更新されました。
- 2007/07/02
- 富士通の JVNVU#754281への対応が更新されました。
