公開日:2015/03/20 最終更新日:2016/01/29

JVNVU#95877131
OpenSSL に複数の脆弱性

概要

OpenSSL には複数の脆弱性が存在します。

影響を受けるシステム

影響を受けるシステムは脆弱性により異なりますが、OpenSSL 1.0.2、1.0.1、1.0.0、0.9.8 のすべてのバージョンが影響を受ける可能性があります。

詳細情報

2015年3月19日にアドバイザリ OpenSSL Security Advisory [19 Mar 2015] が公開されました。アドバイザリの情報によると、以下の脆弱性が修正され、修正版の OpenSSL として、1.0.2a、1.0.1m、1.0.0r、0.9.8zf をリリースしたとのことです。
なお、CVE-2015-0204 については、2015年1月8日時点で修正されています。2015年1月8日に公開されたアドバイザリ OpenSSL Security Advisory [08 Jan 2015] では深刻度は「低」とされていましたが、OpenSSL Security Advisory [19 Mar 2015] において、「高」に変更されました。

深刻度 - 高 (Severity: High)

  • OpenSSL 1.0.2 ClientHello sigalgs DoS (CVE-2015-0291)
  • Reclassified: RSA silently downgrades to EXPORT_RSA [Client] (CVE-2015-0204)
深刻度 - 中 (Severity: Moderate)
  • Multiblock corrupted pointer (CVE-2015-0290)
  • Segmentation fault in DTLSv1_listen (CVE-2015-0207)
  • Segmentation fault in ASN1_TYPE_cmp (CVE-2015-0286)
  • Segmentation fault for invalid PSS parameters (CVE-2015-0208)
  • ASN.1 structure reuse memory corruption (CVE-2015-0287)
  • PKCS7 NULL pointer dereferences (CVE-2015-0289)
  • Base64 decode (CVE-2015-0292)
  • DoS via reachable assert in SSLv2 servers (CVE-2015-0293)
  • Empty CKE with client auth and DHE (CVE-2015-1787)
深刻度 - 低 (Severity: Low)
  • Handshake with unseeded PRNG (CVE-2015-0285)
  • Use After Free following d2i_ECPrivatekey error (CVE-2015-0209)
  • X509_to_X509_REQ NULL pointer deref (CVE-2015-0288)

想定される影響

脆弱性により影響は異なりますが、無効な署名アルゴリズムを使用されることで、OpenSSL の処理が異常終了させられるなどの可能性があります。

対策方法

アップデートする
本脆弱性を修正した下記のバージョンの OpenSSL が提供されています。開発者が提供する情報をもとに最新版へアップデートしてください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
アライドテレシス株式会社 該当製品あり 2015/06/15
ジェイティ エンジニアリング株式会社 該当製品無し 2015/03/21
日本電気株式会社 該当製品あり 2016/01/28
株式会社インターネットイニシアティブ 該当製品あり 2015/04/09 株式会社インターネットイニシアティブ の告知ページ
ベンダ リンク
OpenSSL Project OpenSSL Security Advisory [19 Mar 2015]
LibreSSL project We have released LibreSSL 2.1.6

参考情報

JPCERT/CCからの補足情報

OpenSSL Security Advisory の末尾の注記 (Note) にもある通り、OpenSSL バージョン 1.0.0 と 0.9.8 のサポートは 2015年12月31日で終了します。これらのバージョンのユーザは、1.0.1系へのアップデートをご検討ください。

As per our previous announcements and our Release Strategy (https://www.openssl.org/about/releasestrat.html), support for OpenSSL versions 1.0.0 and 0.9.8 will cease on 31st December 2015. No security updates for these releases will be provided after that date. Users of these releases are advised to upgrade.

JPCERT/CCによる脆弱性分析結果

謝辞

更新履歴

2015/03/23
ジェイティ エンジニアリング株式会社のベンダステータスが更新されました。ベンダ情報を追加しました。
2015/04/09
株式会社インターネットイニシアティブのベンダステータスが更新されました
2015/06/15
アライドテレシス株式会社のベンダステータスが更新されました
2015/10/22
日本電気株式会社のベンダステータスが更新されました
2015/10/30
日本電気株式会社のベンダステータスが更新されました
2015/11/26
日本電気株式会社のベンダステータスが更新されました
2015/12/07
日本電気株式会社のベンダステータスが更新されました
2015/12/22
日本電気株式会社のベンダステータスが更新されました
2016/01/21
日本電気株式会社のベンダステータスが更新されました
2016/01/29
日本電気株式会社のベンダステータスが更新されました