公開日:2009/11/12 最終更新日:2022/06/07
JVNVU#120541
SSL および TLS プロトコルに脆弱性
Secure Sockets Layer (SSL) および Transport Layer Security (TLS) プロトコルには、renegotiation 機能に脆弱性が存在します。
- Secure Sockets Layer 3.0 およびそれ以降
- Transport Layer Security 1.0 およびそれ以降
Secure Sockets Layer (SSL) および Transport Layer Security (TLS) は、通信の暗号化および認証などの機能を提供するプロトコルです。 SSL および TLS プロトコルには、renegotiation 機能に起因する脆弱性が存在します。
ユーザとサーバの通信を中継可能な第三者が、特定の条件において通信データの先頭に任意のデータを挿入することが可能です。結果として、攻撃者が挿入した HTTP リクエストをサーバに送信されるなどの可能性があります。
2009年11月12日現在、対策方法はありません。
現在、IETF の TLS Working Group では、本件の対策に関する議論が行われています。
ベンダ | ステータス | ステータス 最終更新日 |
ベンダの告知ページ |
---|---|---|---|
マイクロソフト株式会社 | 該当製品あり | 2010/09/20 | |
三菱電機エンジニアリング株式会社 | 該当製品あり | 2022/06/07 | 三菱電機エンジニアリング株式会社 の告知ページ |
三菱電機株式会社 | 該当製品あり | 2022/06/07 | 三菱電機株式会社 の告知ページ |
日本電気株式会社 | 該当製品あり | 2010/12/28 |
-
extendedsubset.com
Renegotiating TLS -
IETF
Transport Layer Security (TLS) Renegotiation Indication Extension -
US-CERT Vulnerability Note VU#120541
SSL and TLS protocols renegotiation vulnerability
JPCERT 緊急報告 | |
JPCERT REPORT | |
CERT Advisory | |
CPNI Advisory | |
TRnotes | |
CVE |
CVE-2009-3555 |
JVN iPedia |
JVNDB-2009-002319 |
- 2009/11/13
- 想定される影響の更新およびベンダ情報にリンクを追加しました。
- 2010/05/21
- 関連文書に JVN iPedia へのリンクを追加しました。
- 2010/09/20
- マイクロソフト株式会社のベンダステータスが更新されました
- 2010/12/28
- 日本電気株式会社のベンダステータスが更新されました
- 2010/12/28
- 日本電気株式会社のベンダステータスが更新されました
- 2022/06/07
- 三菱電機株式会社のベンダステータスが更新されました
- 2022/06/07
- 三菱電機エンジニアリング株式会社のベンダステータスが更新されました