公開日:2011/03/08 最終更新日:2015/10/21

JVNVU#555316
複数の STARTTLS 実装に脆弱性

概要

複数の STARTTLS の実装には、脆弱性が存在します。

影響を受けるシステム

影響を受けるシステムについては、"ベンダ情報" および CERT/CC が提供する情報をご参照ください。

詳細情報

複数の STARTTLS 実装には、中間者攻撃 (man-in-the-middle attack) によって、コマンドを挿入される可能性があります。本脆弱性は、暗号文通信への切り替えがアプリケーションより下位の層で行われていることに起因しています。

なお、本脆弱性は、証明書の検証を行っている実装のみが関連しています。

想定される影響

通信を傍受可能な遠隔の第三者によって、任意のコマンドを実行される可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに対応したアップデートを適用してください。

プログラム開発者向けの対策方法

  • 暗号文通信への切り替え時に、アプリケーションの入出力バッファを初期化する

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
パナソニック株式会社 該当製品無し 2011/07/11
ビー・ユー・ジー森精機株式会社 該当製品無し 2015/03/18
富士ゼロックス株式会社 該当製品無し 2011/03/08
富士通株式会社 該当製品あり 2015/10/09
株式会社インターネットイニシアティブ 該当製品無し 2011/03/08

参考情報

  1. US-CERT Vulnerability Note VU#555316
    STARTTLS plaintext command injection vulnerability

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2011-0411
JVN iPedia

更新履歴

2011/07/11
パナソニック株式会社のベンダステータスが更新されました
2011/10/07
富士通株式会社のベンダステータスが更新されました
2015/03/18
ビー・ユー・ジー森精機株式会社のベンダステータスが更新されました
2015/10/21
富士通株式会社のベンダステータスが更新されました