公開日:2002/11/18 最終更新日:2002/11/18

JVNCA-2002-23
OpenSSL に複数の脆弱性

概要


OpenSSL には、複数のバッファオーバーフローの脆弱性があります。この脆弱性は、脆弱な OpenSSL ライブラリを使用しているプログラム (サーバソフトウェアなど) の実装にも影響を与えます。
最も深刻な脆弱性については、遠隔から任意のコードを実行される可能性があります。

影響を受けるシステム

詳細情報

想定される影響


脆弱な OpenSSL ライブラリを使用しているプログラム (サーバソフトウェアなど) がサービス運用妨害 (denial-of-service, DoS) 攻撃を受けたり、そのプログラムを経由して第三者が任意のコードを実行する可能性があります。

対策方法

ベンダ情報

ベンダ リンク
Hewlett-Packard Apache OpenSSLにおけるセキュリティ脆弱性
Hewlett-Packard opensslにおけるセキュリティ脆弱性
Hewlett-Packard OpenSSLおよびlibmmにおける複数の脆弱性
Internet Software Consortium ISC BIND 9
ミラクル・リナックス openssl セキュリティホール
ミラクル・リナックス bind-9 のセキュリティ問題について
OpenBSD セキュリティのための修正: 2002 年 7 月 30 日
OpenSSL OpenSSL Security Advisory [30 July 2002]
オラクル OpenSSLの複数のセキュリティの脆弱性
Red Hat opensslパッケージのアップデート
Red Hat opensslパッケージのアップデート
Turbolinux Japan openssl: openssl buffer overflowによるローカルユーザー権限奪取
Vine Linux openssl にセキュリティホール
Vine Linux openssl にセキュリティホール
アップル Security Update 2002-08-02
Debian openssl -- リモートからの複数種類の攻撃
FreeBSD openssl における複数のセキュリティ上の弱点
富士通 CA-2002-23に対する富士通の情報
富士通 CA-2002-23に対するSolaris OEの情報
Hewlett-Packard OpenSSL for JetDirectにおけるセキュリティ脆弱性

参考情報

  1. CERT Vulnerability Note VU#102795
    OpenSSL servers contain a buffer overflow during the SSLv2 handshake process
  2. CERT Vulnerability Note VU#258555
    OpenSSL clients contain a buffer overflow during the SSLv3 handshake process
  3. CERT Vulnerability Note VU#561275
    OpenSSL servers with Kerberos enabled contain a remotely exploitable buffer overflow vulnerability during the SSLv3 handshake process
  4. CERT Vulnerability Note VU#308891
    OpenSSL contains multiple buffer overflows in buffers that are used to hold ASCII representations of integers
  5. CERT Vulnerability Note VU#748355
    ASN.1 encoding errors exist in implementations of SSL, TLS, S/MIME, PKCS#7 routines
  6. CIAC Bulletin M-103
    Multiple Vulnerabilities in OpenSSL
  7. V-STAF: openssl-ssl2-masterkey-bo (9714)
    OpenSSL における SSL2 マスターキーによるバッファオーバフロー
  8. V-STAF: openssl-ssl3-masterkey-bo (9715)
    Kerberos を使用する OpenSSL において引き起こされる SSL3 マスターキーによるバッファオーバフロー
  9. V-STAF: openssl-ssl3-sessionid-bo (9716)
    OpenSSL における SSL3 クライアントのセッション ID によるバッファオーバフロー
  10. V-STAF: openssl-ascii-int-bo (9717)
    OpenSSL における ASCII 表記の整数によるバッファオーバフロー
  11. V-STAF: openssl-asn1-parser-dos (9718)
    OpenSSL ASN1 パーサにおける不正なエンコードによるサービス妨害攻撃に対する脆弱性
  12. IPA セキュリティセンター(IPA/ISEC)
    OpenSSL に複数の脆弱性
  13. 警察庁
    SSLの脆弱性を悪用した国内ウェブページ改ざん事案の多発について
  14. 警察庁
    OpenSSLの脆弱性を攻撃するプログラムの検証結果について
  15. LAC
    CERT Advisory CA-2002-23 Multiple Vulnerabilities In OpenSSL [翻訳版]

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT JPCERT-WR-2002-3001
JPCERT/CC REPORT 2002-08-07
JPCERT-WR-2002-3101
JPCERT/CC REPORT 2002-08-14
JPCERT-WR-2002-3201
JPCERT/CC REPORT 2002-08-21
JPCERT-WR-2002-3601
JPCERT/CC REPORT 2002-09-19
CERT Advisory CERT Advisory CA-2002-23
Multiple Vulnerabilities In OpenSSL
CPNI Advisory
TRnotes
CVE CAN-2002-0655
VU#308891,XF9717
CAN-2002-0656
VU#102795,VU#258555,XF9714,XF9716
CAN-2002-0657
VU#561275,XF9715
CAN-2002-0659
VU#748355,XF9718
JVN iPedia