公開日:2005/10/11 最終更新日:2015/10/21

JVN#23632449
OpenSSL におけるバージョン・ロールバックの脆弱性

概要

OpenSSL Project より提供されている OpenSSL には、バージョン・ロールバックが可能な脆弱性が存在します。OpenSSL を利用したサーバで特定のオプションを使用した場合、通信経路上で通信内容に細工を施されることにより、TLS1.0 による接続を要求しても強制的に SSL 2.0 の接続に変更される可能性があります。

TLS プロトコルを定めている RFC2246 では、バージョン・ロールバック攻撃を避けるために、TLS 1.0 が使用できる場合には SSL 2.0 を利用しないことを定めています。

影響を受けるシステム

  • OpenSSL 0.9.8 およびそれ以前

詳細情報

想定される影響


攻撃者が管理する経路を通して OpenSSL による通信を行う場合、強制的に暗号化方式を TLS 1.0 や SSL 3.0 から SSL 2.0 に変更され、盗聴や改ざん等の MITM (Man In The Middle) 攻撃を受ける可能性があります。

対策方法

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
アライドテレシス株式会社 該当製品無し(調査中) 2005/10/11
インターネットイニシアティブ 該当製品無し 2005/10/11
サイボウズ 該当製品無し 2005/10/19
センチュリー・システムズ 該当製品あり 2005/11/07 センチュリー・システムズ の告知ページ
トレンドマイクロ 該当製品あり 2006/01/18 トレンドマイクロ の告知ページ
ビー・ユー・ジー 該当製品無し 2005/10/14
古河電気工業 該当製品無し 2005/10/11
富士通株式会社 該当製品あり 2015/10/13
日本電気 該当製品無し(調査中) 2005/10/11
日立 該当製品無し(調査中) 2005/10/11
松下電器産業 該当製品無し(調査中) 2005/11/14
ベンダ リンク
OpenSSL OpenSSL Project advisory
Sun OpenSSL (see openssl(5)) May Allow an Agent to Force a Rollback to a Cryptographically Weak Protocol Version

参考情報

  1. IPA
    「OpenSSL」におけるバージョン・ロールバックの脆弱性

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき
下記の方がIPAに報告し、JPCERT/CCがベンダおよびCERT/CCとの調整を行いました。
報告者: 産業技術総合研究所 情報セキュリティ研究センター 大岩 寛 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CAN-2005-2969
JVN iPedia

更新履歴

2005/10/11
アライドテレシス株式会社の JVN#23632449への対応が更新されました。
2005/10/11
富士通の JVN#23632449への対応が更新されました。
2005/10/11
センチュリー・システムズの JVN#23632449への対応が更新されました。
2005/10/11
古河電気工業の JVN#23632449への対応が更新されました。
2005/10/11
日本電気の JVN#23632449への対応が更新されました。
2005/10/11
株式会社インターネットイニシアティブの JVN#23632449への対応が更新されました。
2005/10/11
日立の JVN#23632449への対応が更新されました。
2005/10/12
ベンダ情報:日立の情報を更新しました。
2005/10/12
ベンダ情報:富士通の情報を更新しました。<br>参考資料:IPA へのリンクを追加しました。
2005/10/12
富士通の JVN#23632449への対応が更新されました。
2005/10/13
ベンダ情報:Sun の情報を追加しました。
2005/10/14
ベンダ情報:ビー・ユー・ジーの情報を更新しました。<br>ベンダ情報:トレンドマイクロの情報を更新しました。
2005/10/14
ビー・ユー・ジーの JVN#23632449への対応が更新されました。
2005/10/14
トレンドマイクロの JVN#23632449への対応が更新されました。
2005/10/19
サイボウズの JVN#23632449への対応が更新されました。
2005/10/20
ベンダ情報:サイボウズの情報を追加しました。
2005/11/07
ベンダ情報:センチュリー・システムズの情報を更新しました。
2005/11/07
センチュリー・システムズの JVN#23632449への対応が更新されました。
2005/11/14
ベンダ情報:松下電器産業の情報を更新しました。
2005/11/14
松下電器産業株式会社の JVN#23632449への対応が更新されました。
2005/11/24
トレンドマイクロの JVN#23632449への対応が更新されました。
2005/11/25
ベンダ情報:トレンドマイクロの情報を更新しました。
2005/12/08
富士通の JVN#23632449への対応が更新されました。
2005/12/09
ベンダ情報:富士通の情報を更新しました。
2006/01/18
ベンダ情報:トレンドマイクロの情報を更新しました。
2006/01/18
トレンドマイクロの JVN#23632449への対応が更新されました。
2006/06/05
ベンダ情報:富士通の情報を更新しました。
2006/06/05
富士通の JVN#23632449への対応が更新されました。
2006/10/26
ベンダ情報:富士通の情報を更新しました。
2006/10/26
富士通の JVN#23632449への対応が更新されました。
2015/10/21
富士通株式会社のベンダステータスが更新されました