公開日:2007/05/22 最終更新日:2007/07/02

JVNVU#754281
RSA BSAFE Cert-C および Crypto-C にサービス運用妨害 (DoS) の脆弱性

概要


RSA BSAFE Cert-C および Crypto-C にはサービス運用妨害 (DoS) の脆弱性が存在します。

影響を受けるシステム


  • Crypto-C 6.3.1 より前のバージョン
    • Cert-C 2.8 より前のバージョン

    • RSAセキュリティが提供するその他の製品は、本脆弱性の影響を受けません。


      本脆弱性は Crypto-C 6.3.1、Cert-C 2.8 で修正されています。

    詳細情報


    RSAセキュリティが提供する RSA BSAFE Cert-C および Crypto-C は、それぞれデジタル証明書の処理や暗号アルゴリズムを実装するための C/C++言語のためのライブラリです。

    RSA BSAFE Cert-C および Crypto-C には細工された ASN.1 オブジェクトの処理に問題があり、ライブラリが無限ループに陥る問題があります。

    想定される影響


    遠隔の第三者により、サービス運用妨害攻撃 (DoS) を受ける可能性があります。

    対策方法

    アップグレードする


    本脆弱性を修正した Crypto-C 6.3.1、Cert-C 2.8 がベンダから提供されています。当該製品のユーザは修正版へアップグレードすることが推奨します。修正版の入手方法に関しては、ベンダにお問い合わせ下さい。なお RSA は本脆弱性に Bug ID 46337 を割り当てています。ベンダへお問い合わせの際にこの Bug ID をご利用下さい。

    ベンダ情報

    ベンダ ステータス ステータス
    最終更新日
    ベンダの告知ページ
    任天堂 該当製品無し 2007/05/22
    富士通 該当製品あり 2007/07/02 富士通 の告知ページ
    日本電気 該当製品無し(調査中) 2007/05/22
    日立 該当製品無し(調査中) 2007/05/24

    参考情報

    1. US-CERT Vulnerability Note VU#754281
      RSA BSAFE libraries vulnerable to denial of service
    2. CPNI Advisory 137
      Cisco Security Advisory: Vulnerability In Crypto Library Advisory ID: cisco-sa-20070522-crypto

    JPCERT/CCからの補足情報

    JPCERT/CCによる脆弱性分析結果

    における脆弱性分析結果

    評価尺度 攻撃成立条件 評価値
    攻撃経路 インターネット経由からの攻撃が可能
    認証レベル 匿名もしくは認証なしで攻撃が可能
    攻撃成立に必要なユーザーの関与 ユーザが何もしなくても脆弱性が攻撃される可能性がある
    攻撃の難易度 専門知識や運がなくとも攻撃可能

    各項目の詳しい説明

    謝辞

    関連文書

    JPCERT 緊急報告
    JPCERT REPORT JPCERT-WR-2007-2001
     JPCERT/CC REPORT 2007-05-30
    CERT Advisory
    CPNI Advisory
    TRnotes
    CVE CVE-2006-3894
    JVN iPedia

    更新履歴

    2007/05/23
    CVE を追加しました。
    2007/05/23
    CPNI Advisory へのリンクを追加しました。
    2007/05/24
    日立の JVNVU#754281への対応が更新されました。
    2007/05/30
    JPCERT REPORT へのリンクを追加しました。
    2007/06/18
    富士通の JVNVU#754281への対応が更新されました。
    2007/07/02
    富士通の JVNVU#754281への対応が更新されました。