公開日:2005/10/11 最終更新日:2015/10/21
JVN#23632449
OpenSSL におけるバージョン・ロールバックの脆弱性
OpenSSL Project より提供されている OpenSSL には、バージョン・ロールバックが可能な脆弱性が存在します。OpenSSL を利用したサーバで特定のオプションを使用した場合、通信経路上で通信内容に細工を施されることにより、TLS1.0 による接続を要求しても強制的に SSL 2.0 の接続に変更される可能性があります。
TLS プロトコルを定めている RFC2246 では、バージョン・ロールバック攻撃を避けるために、TLS 1.0 が使用できる場合には SSL 2.0 を利用しないことを定めています。
- OpenSSL 0.9.8 およびそれ以前
攻撃者が管理する経路を通して OpenSSL による通信を行う場合、強制的に暗号化方式を TLS 1.0 や SSL 3.0 から SSL 2.0 に変更され、盗聴や改ざん等の MITM (Man In The Middle) 攻撃を受ける可能性があります。
ベンダ | ステータス | ステータス 最終更新日 |
ベンダの告知ページ |
---|---|---|---|
アライドテレシス株式会社 | 該当製品無し(調査中) | 2005/10/11 | |
インターネットイニシアティブ | 該当製品無し | 2005/10/11 | |
サイボウズ | 該当製品無し | 2005/10/19 | |
センチュリー・システムズ | 該当製品あり | 2005/11/07 | センチュリー・システムズ の告知ページ |
トレンドマイクロ | 該当製品あり | 2006/01/18 | トレンドマイクロ の告知ページ |
ビー・ユー・ジー | 該当製品無し | 2005/10/14 | |
古河電気工業 | 該当製品無し | 2005/10/11 | |
富士通株式会社 | 該当製品あり | 2015/10/13 | |
日本電気 | 該当製品無し(調査中) | 2005/10/11 | |
日立 | 該当製品無し(調査中) | 2005/10/11 | |
松下電器産業 | 該当製品無し(調査中) | 2005/11/14 |
-
IPA
「OpenSSL」におけるバージョン・ロールバックの脆弱性
本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき
下記の方がIPAに報告し、JPCERT/CCがベンダおよびCERT/CCとの調整を行いました。
報告者: 産業技術総合研究所 情報セキュリティ研究センター 大岩 寛 氏
JPCERT 緊急報告 | |
JPCERT REPORT | |
CERT Advisory | |
CPNI Advisory | |
TRnotes | |
CVE |
CAN-2005-2969 |
JVN iPedia |
- 2005/10/11
- アライドテレシス株式会社の JVN#23632449への対応が更新されました。
- 2005/10/11
- 富士通の JVN#23632449への対応が更新されました。
- 2005/10/11
- センチュリー・システムズの JVN#23632449への対応が更新されました。
- 2005/10/11
- 古河電気工業の JVN#23632449への対応が更新されました。
- 2005/10/11
- 日本電気の JVN#23632449への対応が更新されました。
- 2005/10/11
- 株式会社インターネットイニシアティブの JVN#23632449への対応が更新されました。
- 2005/10/11
- 日立の JVN#23632449への対応が更新されました。
- 2005/10/12
- ベンダ情報:日立の情報を更新しました。
- 2005/10/12
- ベンダ情報:富士通の情報を更新しました。<br>参考資料:IPA へのリンクを追加しました。
- 2005/10/12
- 富士通の JVN#23632449への対応が更新されました。
- 2005/10/13
- ベンダ情報:Sun の情報を追加しました。
- 2005/10/14
- ベンダ情報:ビー・ユー・ジーの情報を更新しました。<br>ベンダ情報:トレンドマイクロの情報を更新しました。
- 2005/10/14
- ビー・ユー・ジーの JVN#23632449への対応が更新されました。
- 2005/10/14
- トレンドマイクロの JVN#23632449への対応が更新されました。
- 2005/10/19
- サイボウズの JVN#23632449への対応が更新されました。
- 2005/10/20
- ベンダ情報:サイボウズの情報を追加しました。
- 2005/11/07
- ベンダ情報:センチュリー・システムズの情報を更新しました。
- 2005/11/07
- センチュリー・システムズの JVN#23632449への対応が更新されました。
- 2005/11/14
- ベンダ情報:松下電器産業の情報を更新しました。
- 2005/11/14
- 松下電器産業株式会社の JVN#23632449への対応が更新されました。
- 2005/11/24
- トレンドマイクロの JVN#23632449への対応が更新されました。
- 2005/11/25
- ベンダ情報:トレンドマイクロの情報を更新しました。
- 2005/12/08
- 富士通の JVN#23632449への対応が更新されました。
- 2005/12/09
- ベンダ情報:富士通の情報を更新しました。
- 2006/01/18
- ベンダ情報:トレンドマイクロの情報を更新しました。
- 2006/01/18
- トレンドマイクロの JVN#23632449への対応が更新されました。
- 2006/06/05
- ベンダ情報:富士通の情報を更新しました。
- 2006/06/05
- 富士通の JVN#23632449への対応が更新されました。
- 2006/10/26
- ベンダ情報:富士通の情報を更新しました。
- 2006/10/26
- 富士通の JVN#23632449への対応が更新されました。
- 2015/10/21
- 富士通株式会社のベンダステータスが更新されました