公開日:2006/09/29 最終更新日:2007/03/08

JVNVU#386964
OpenSSL の SSLv2 クライアントコードに NULL データをチェックできない脆弱性

概要


OpenSSL の SSLv2 クライアントコードには、通信相手から送られてきた NULL データを検出できずに処理してしまう脆弱性があります。結果として、サーバとの間で SSLv2 プロトコルによる通信を行なっているアプリケーションがクラッシュする可能性があります。

影響を受けるシステム


  • OpenSSL を使って SSLv2 プロトコルによる通信を行なっているソフトウェア。詳しくは、ベンダの提供する情報をご参照ください。


詳細情報

想定される影響

遠隔の第三者により、クライアントアプリケーションが DoS 攻撃を受ける可能性があります。

対策方法

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
アライドテレシス株式会社 該当製品なし:調査中 2006/10/24
ビー・ユー・ジー 該当製品なし 2006/09/29 ビー・ユー・ジー の告知ページ
富士通 該当製品あり 2007/03/08
古河電気工業 該当製品なし 2006/09/29
日立 該当製品なし:調査中 2006/09/29
インターネットイニシアティブ 該当製品なし:調査中 2006/09/29
日本電気 該当製品なし:調査中 2006/09/29
センチュリー・システムズ 該当製品なし 2006/10/02
ヤマハ 該当製品なし 2006/09/29
横河電機 該当製品なし:調査中 2006/09/29
ベンダ リンク
OpenSSL project OpenSSL Security Advisory [28th September 2006]

参考情報

  1. Vulnerability Note VU#386964
    OpenSSL SSLv2 client code fails to properly check for NULL

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
NISCC Advisory
TRnotes

更新履歴

2006/09/29
ベンダ情報:日本電気の情報を追加しました。
2006/10/02
ベンダ情報:センチュリー・システムズの情報を追加しました
2006/10/25
ベンダ情報:アライドテレシス株式会社の情報を追加しました
2007/03/08
ベンダ情報:富士通の情報を更新しました。