公開日:2006/09/12 最終更新日:2015/10/21

JVNVU#845620
複数の RSA 実装において署名が正しく検証されない脆弱性

概要


RSA 署名は、メッセージの発信元が信頼できることを証明するために用いられます。

RSA を実装している複数のソフトウェアにおいて、署名が正しく検証されない脆弱性が存在します。例えば、SSH、SSL、PGP、X.509 などのソフトウェアに影響を及ぼす可能性があります。

影響を受けるシステム

  • 詳しくは、ベンダの提供する情報を参照してください。

詳細情報

想定される影響


遠隔の第三者により RSA 署名が偽造される可能性があります。これにより、署名されたメッセージの正当性を確認できない場合があります。

対策方法

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
アライドテレシス株式会社 該当製品あり 2007/09/11
古河電気工業 該当製品あり 2006/09/27
富士通株式会社 該当製品あり 2015/10/13
日本電気 該当製品あり(調査中) 2007/01/09

参考情報

  1. Vulnerability Note VU#845620
    Multiple RSA implementations fail to properly handle signatures

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2006-4339
JVN iPedia

更新履歴

2006/09/27
ベンダ情報:古河電気工業の情報を追加しました。
2006/09/27
古河電気工業の JVNVU#845620への対応が更新されました。
2006/12/28
日本電気の JVNVU#845620への対応が更新されました。
2007/01/09
ベンダ情報:日本電気の情報を追加しました。
2007/02/01
ベンダ情報:富士通の情報を追加しました。
2007/02/01
富士通の JVNVU#845620への対応が更新されました。
2014/10/27
富士通株式会社のベンダステータスが更新されました
2015/10/21
富士通株式会社のベンダステータスが更新されました