公開日:2006/09/29 最終更新日:2007/03/08

JVNVU#547300
OpenSSL の SSL_get_shared_ciphers() にバッファオーバフローの脆弱性

概要


OpenSSL ライブラリのユーティリティ関数の1つに、通信に使う暗号化アルゴリズムのリストを可読な文字列として出力する SSL_get_shared_ciphers() があります。 SSL_get_shared_ciphers() の処理にはバッファオーバフローの脆弱性があります。

影響を受けるシステム


  • OpenSSL を使用するソフトウェア。詳しくは、ベンダの提供する情報をご参照ください。


詳細情報

想定される影響


遠隔の第三者によって任意のコードを実行されたり、DoS 攻撃を受ける可能性があります。

対策方法

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
アライドテレシス株式会社 該当製品なし:調査中 2006/10/24
ビー・ユー・ジー 該当製品なし 2006/09/29 ビー・ユー・ジー の告知ページ
富士通 該当製品あり 2007/03/08
古河電気工業 該当製品なし 2006/09/29
日立 該当製品なし:調査中 2006/09/29
インターネットイニシアティブ 該当製品なし:調査中 2006/09/29
日本電気 該当製品なし:調査中 2006/09/29
センチュリー・システムズ 該当製品なし 2006/10/02
ヤマハ 該当製品なし 2006/09/29
横河電機 該当製品なし:調査中 2006/09/29
ベンダ リンク
OpenSSL project OpenSSL Security Advisory [28th September 2006]

参考情報

  1. Vulnerability Note VU#547300
    OpenSSL "SSL_get_shared_ciphers()" vulnerable to buffer overflow

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
NISCC Advisory
TRnotes

更新履歴

2006/09/29
ベンダ情報:日本電気の情報を追加しました。
2006/10/02
ベンダ情報:センチュリー・システムズの情報を追加しました。
2006/10/25
ベンダ情報:アライドテレシス株式会社の情報を追加しました。
2007/03/08
ベンダ情報:富士通の情報を更新しました。