公開日:2016/05/06 最終更新日:2017/10/02

JVNVU#93163809
OpenSSL に複数の脆弱性

概要

OpenSSL には、複数の脆弱性が存在します。

影響を受けるシステム

  • OpenSSL 1.0.2h より前のバージョン
  • OpenSSL 1.0.1t より前のバージョン

詳細情報

OpenSSL には、次の複数の脆弱性が存在します。

  • ASN.1 エンコーダにメモリ破損 - CVE-2016-2108 (重要度:高)
  • AES-NI CBC MAC チェックに対するパディングオラクル攻撃 - CVE-2016-2107 (重要度:高)
  • EVP_EncodeUpdate() にバッファオーバーフロー - CVE-2016-2105 (重要度:低)
  • EVP_EncryptUpdate() にバッファオーバーフロー - CVE-2016-2106 (重要度:低)
  • BIO 経由で読み込んだ ASN.1 データの処理にサービス運用妨害 (DoS) - CVE-2016-2109 (重要度:低)
  • EBCDIC システムにおける X509_NAME_oneline() 関数の ASN.1 データの処理にサービス運用妨害 (DoS) - CVE-2016-2176 (重要度:低)

想定される影響

想定される影響は各脆弱性により異なりますが、任意のコードを実行されたり、情報が漏えいしたり、サービス運用妨害 (DoS) 状態にされたりする可能性があります。

対策方法

アップデートする
本脆弱性を修正した OpenSSL 1.0.1t および 1.0.2h がリリースされています。
開発者が提供する情報をもとに、最新版へアップデートしてください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
ジェイティ エンジニアリング株式会社 該当製品無し 2016/05/06
ビー・ユー・ジーDMG森精機株式会社 該当製品無し 2016/05/10
日本電気株式会社 該当製品あり 2017/09/29
株式会社アラタナ 該当製品あり 2016/05/31 株式会社アラタナ の告知ページ

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2016-2108
CVE-2016-2107
CVE-2016-2105
CVE-2016-2106
CVE-2016-2109
CVE-2016-2176
JVN iPedia

更新履歴

2016/05/09
ジェイティ エンジニアリング株式会社のベンダステータスが更新されました
2016/05/11
ビー・ユー・ジーDMG森精機株式会社のベンダステータスが更新されました
2016/06/01
株式会社アラタナのベンダステータスが更新されました
2016/08/19
日本電気株式会社のベンダステータスが更新されました
2017/02/01
日本電気株式会社のベンダステータスが更新されました
2017/07/25
日本電気株式会社のベンダステータスが更新されました
2017/10/02
日本電気株式会社のベンダステータスが更新されました