公開日:2004/03/19 最終更新日:2005/04/01

JVNTA04-078A
OpenSSL に複数の脆弱性

概要

OpenSSL の SSL/TLS ハンドシェイク処理に複数の脆弱性があります。これらの脆弱性は、脆弱な OpenSSL ライブラリを使用しているプログラム (サーバソフトウェアなど) の実装にも影響を与えます。

影響を受けるシステム

  • バージョン 0.9.6l およびそれ以前の 0.9.6系列
  • バージョン 0.9.7c およびそれ以前の 0.9.7系列
  • OpenSSL SSL/TLS ライブラリを使用しているアプリケーションならびにシステム

詳細情報

想定される影響

脆弱な OpenSSL ライブラリを使用しているプログラム (サーバソフトウェアなど) がサービス運用妨害 (denial-of-service, DoS) 攻撃を受ける可能性があります。

対策方法

ベンダ情報

ベンダ リンク
Check Point OpenSSL Vulnerability
Cisco Cisco OpenSSL Implementation Vulnerability
Debian openssl -- 複数の欠陥
FreeBSD
富士通 NISCC Vulnerability Advisory 224012に対する富士通の情報
富士通 TA04-078Aに対する富士通の情報
富士通 TA04-078Aに対するSolaris OEの情報
ミラクル・リナックス openssl096 セキュリティ 2004/03/19 openssl096 に DoS (Denial of Service) の脆弱性
NetBSD
Netscreen Potential OpenSSL denial of service in the NetScreen Instant Virtual Extranet (IVE) platform
OpenBSD 信頼性のための修正: 2004 年 3 月 17 日
OpenSSL OpenSSL Security Advisory [17 March 2004]
Red Hat 脆弱性を修正したOpenSSLのアップデート パッケージ
Red Hat Updated OpenSSL packages fix vulnerabilities
Red Hat Updated OpenSSL packages fix vulnerabilities
Red Hat Stronghold 4: New release fixes OpenSSL and Apache issues
サン・マイクロシステムズ Potential SSL Vulnerabilities in Sun Products
Turbolinux Japan openssl に複数の弱点
Vine Linux openssl にセキュリティホール

参考情報

  1. NISCC Vulnerability Advisory 224012
    Vulnerability Issues in OpenSSL
  2. US-CERT Vulnerability Note VU#288574
    OpenSSL contains null-pointer assignment in do_change_cipher_spec() function
  3. US-CERT Vulnerability Note VU#484726
    OpenSSL contains a flaw in the code that processes SSL/TLS handshakes when configured to use the Kerberos cipher suites
  4. US-CERT Vulnerability Note VU#465542
    OpenSSL does not properly handle unknown message types
  5. CIAC Bulletin O-101
    OpenSSL Denial of Service Vulnerability
  6. ISS X-Force Database: openssl-dochangecipherspec-dos(15505)
    OpenSSL do_change_cipher_spec function denial of service
  7. ISS X-Force Database: openssl-kerberos-ciphersuites-dos(15508)
    OpenSSL on a server configured with Kerberos ciphersuites denial of service
  8. ISS X-Force Database: openssl-tls-dos(15509)
    OpenSSL unknown TLS message types denial of service
  9. 警察庁
    OpenSSLの脆弱性について(3/18)

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT JPCERT-WR-2004-1201
JPCERT/CC REPORT 2004-03-24
CERT Advisory Technical Cyber Security Alert TA04-078A
Multiple Vulnerabilities in OpenSSL
CPNI Advisory
TRnotes
CVE CAN-2004-0079
VU#288574,XF15505
JVN iPedia