公開日:2007/08/16 最終更新日:2008/08/18
JVNVU#724968
RSA key reconstruction vulnerability
RSA のいくつかの実装に対して秘密鍵を解読できる可能性のある手法が報告されています。この手法は OpenSSL に対して適用され、有効であることがあわせて報告されています。
- OpenSSL に実装された RSA アルゴリズムを使用するソフトウェア
また、OpenSSL 以外でも RSA アルゴリズムを使用するソフトウェアは影響を受ける可能性があります。
詳しくは、ベンダの提供する情報をご確認下さい。
RSA のいくつかの実装に対して秘密鍵を解読できる可能性のある手法が報告されています。
SSL や TLS プロトコルなどを実装したオープンソースのライブラリとして広く利用されている OpenSSL に対してこの手法が適用され、有効であることがあわせて報告されています。
ベンダーが提供する Web サーバや VPN その他の製品で問題のある OpenSSL のバージョンを使用している場合にも、影響を受ける可能性があります。
第三者によって、RSA アルゴリズムで暗号化されたメッセージを解読される可能性があります。
アップデートする
開発元の提供する情報を元にアップデートして下さい。
| ベンダ | ステータス | ステータス 最終更新日 |
ベンダの告知ページ |
|---|---|---|---|
| 古河電気工業 | 該当製品無し | 2007/08/16 | |
| 日本電気 | 該当製品あり | 2008/08/18 | |
| 日立 | 該当製品無し(調査中) | 2007/08/16 |
| ベンダ | リンク |
| OpenSSL project | patch-CVE-2007-3108.txt |
2007.08.16における脆弱性分析結果
| 評価尺度 | 攻撃成立条件 | 評価値 |
|---|---|---|
| 攻撃経路 | シェルからのシステムログインやリモートデスクトップなどから攻撃が可能 |
|
| 認証レベル | 特権レベルの権限でログインすることが必要 |
|
| 攻撃成立に必要なユーザーの関与 | 設定の変更など、積極的なユーザ動作が必要 |
|
| 攻撃の難易度 | かなり高度な専門知識や運 (条件が揃う確率は低い) が必要 |
|
| JPCERT 緊急報告 | |
| JPCERT REPORT |
JPCERT-WR-2007-3001 (2007-08-08) |
| CERT Advisory | |
| CPNI Advisory | |
| TRnotes | |
| CVE |
CVE-2007-3108 |
| JVN iPedia |
