公開日:2006/09/12 最終更新日:2007/02/01

JVNVU#845620
複数の RSA 実装において署名が正しく検証されない脆弱性

概要


RSA 署名は、メッセージの発信元が信頼できることを証明するために用いられます。

RSA を実装している複数のソフトウェアにおいて、署名が正しく検証されない脆弱性が存在します。例えば、SSH、SSL、PGP、X.509 などのソフトウェアに影響を及ぼす可能性があります。

影響を受けるシステム

  • 詳しくは、ベンダの提供する情報を参照してください。

詳細情報

想定される影響


遠隔の第三者により RSA 署名が偽造される可能性があります。これにより、署名されたメッセージの正当性を確認できない場合があります。

対策方法

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
アライドテレシス株式会社 該当製品あり 2007/09/11
古河電気工業 該当製品あり 2006/09/27
富士通 該当製品あり(調査中) 2007/02/01 富士通 の告知ページ
日本電気 該当製品あり(調査中) 2007/01/09

参考情報

  1. Vulnerability Note VU#845620
    Multiple RSA implementations fail to properly handle signatures

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2006-4339
VU#845620
JVN iPedia