公開日:2016/11/11 最終更新日:2019/09/13
JVNVU#92930223
OpenSSL に複数の脆弱性
OpenSSL には、複数の脆弱性が存在します。
- OpenSSL 1.1.0c より前のバージョン (CVE-2016-7053, CVE-2016-7054, CVE-2016-7055)
- OpenSSL 1.0.2 (CVE-2016-7055)
OpenSSL は、次の複数の脆弱性を修正したアップデートをリリースしました。
- ciphersuite ChaCha20/Poly1305 にヒープバッファオーバーフロー - CVE-2016-7054 (重要度:高)
- 無効な CMS 構造の処理における NULL ポインタ参照の問題 - CVE-2016-7053 (重要度:中)
- モンゴメリ乗算処理の誤り - CVE-2016-7055 (重要度:低)
想定される影響は各脆弱性により異なりますが、アプリケーションがクラッシュするサービス運用妨害 (DoS) 攻撃を受けるなどの可能性があります。
アップデートする
開発者が提供する情報をもとに、最新版へアップデートして下さい。
本脆弱性を修正した OpenSSL 1.1.0c がリリースされています。
なお、 CVE-2016-7055 は 重要度:低 のため、2016年11月11日現在、CVE-2016-7055 に対する OpenSSL 1.0.2 のアップデートはリリースされていません。
| ベンダ | ステータス | ステータス 最終更新日 |
ベンダの告知ページ |
|---|---|---|---|
| BizMobile株式会社 | 該当製品無し | 2017/12/21 | |
| ジェイティ エンジニアリング株式会社 | 該当製品無し | 2016/11/14 | |
| 日本電気株式会社 | 該当製品あり | 2019/09/12 |
| ベンダ | リンク |
| OpenSSL Software Foundation | OpenSSL Security Advisory [10 Nov 2016] |
| OpenSSL 1.1.0 Series Release Notes |
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2016-7053 |
|
CVE-2016-7054 |
|
|
CVE-2016-7055 |
|
| JVN iPedia |
- 2016/11/14
- ジェイティ エンジニアリング株式会社のベンダステータスが更新されました
- 2017/03/09
- 日本電気株式会社のベンダステータスが更新されました
- 2017/07/25
- 日本電気株式会社のベンダステータスが更新されました
- 2017/10/02
- 日本電気株式会社のベンダステータスが更新されました
- 2017/12/21
- BizMobile株式会社のベンダステータスが更新されました
- 2018/02/06
- 日本電気株式会社のベンダステータスが更新されました
- 2019/09/13
- 日本電気株式会社のベンダステータスが更新されました
