公開日:2010/09/12 12:51 最終更新日:2010/09/12 12:51

JVNTR-2010-22
SSL および TLS プロトコルに脆弱性 (CVE-2009-3555, MS10-049, VU#120541)

概要


Secure Sockets Layer (SSL) および Transport Layer Security (TLS) プロトコルには、renegotiation 機能に脆弱性が存在します。

影響を受けるシステム
 - Secure Sockets Layer 3.0 およびそれ以降
 - Transport Layer Security 1.0 およびそれ以降

時系列イベント


日時 (JST)内容
2010-08-11 11:32 JPCERT/CC
JPCERT-AT-2010-0020: 2010年8月 Microsoft セキュリティ情報 (緊急 8件含) に関する注意喚起
マイクロソフト セキュリティ情報 2010 年 8 月 のセキュリティ情報をアナウンス
2010-08-11 07:52 マイクロソフト
MS10-049: マイクロソフト セキュリティ情報 2010 年 8 月のセキュリティ情報
セキュリティ更新プログラム (MS10-049) のリリース
2010-08-11 04:22 US-CERT
TA10-222A: Microsoft Updates for Multiple Vulnerabilities
US-CERT メーリングリスト経由で Technical Cyber Security Alert 発信
マイクロソフト セキュリティ情報 2010 年 8 月 のセキュリティ情報をアナウンス
2010-07-31 10:07 マイクロソフト
ms10-aug: マイクロソフト セキュリティ情報の事前通知 - 2010 年 8 月
セキュリティ更新プログラムリリースの事前通知
2010-03-30 Mozilla Japan
MFSA 2010-22: NSS の更新による TLS 再交渉指示への対応
セキュリティ更新プログラム (MFSA 2010-22) のリリース: Firefox 3.6.2/3.5.9, Thunderbird 3.0.4
2010-02-26 03:24 OpenSSL
OpenSSL Security Advisory [11-Nov-2009]: OpenSSL 0.9.8m is now available, including important bug and security fixes
RFC5746を実装した OpenSSL 0.9.8m リリース
2010-02-13 IETF
draft-ietf-tls-renegotiation-03.txt: RFC5746: Transport Layer Security (TLS) Renegotiation Indication Extension
2010-02-10 04:30 マイクロソフト
マイクロソフト セキュリティ アドバイザリ (977377): TLS/SSL の脆弱性により、なりすましが行われる
セキュリティ アドバイザリ (977377) の公開
2010-01-04 IETF
draft-ietf-tls-renegotiation-03.txt: Transport Layer Security (TLS) Renegotiation Indication Extension
2009-12-16 IETF
draft-ietf-tls-renegotiation-02.txt: Transport Layer Security (TLS) Renegotiation Indication Extension
2009-11-26 IETF
draft-ietf-tls-renegotiation-01.txt: Transport Layer Security (TLS) Renegotiation Indication Extension
2009-11-19 IETF
draft-ietf-tls-renegotiation-00.txt: Transport Layer Security (TLS) Renegotiation Indication Extension
2009-11-12 00:50 OpenSSL
OpenSSL Security Advisory [11-Nov-2009]: A potentially serious flaw in SSL and TLS has been worked around in OpenSSL 0.9.8l.
再ネゴシエーション処理を取り除いた OpenSSL 0.9.8l リリース
2009-11-07 08:01 US-CERT
SSL and TLS Vulnerable to Man-in-the-middle Attacks
US-CERT Current Activity
SSL/TLSプロトコルに存在する脆弱性問題をアナウンス
2009-11-05 12:20
Authentication Gap in TLS Renegotiation
脆弱性と検証情報の公開 (Webサイトに掲載)


参考情報



  1. US-CERT Vulnerability Note VU#120541
    SSL and TLS protocols renegotiation vulnerability
  2. Japan Vulnerability Notes JVNVU#120541
    SSL および TLS プロトコルに脆弱性
  3. JVNDB-2009-002319
    SSL および TLS プロトコルに脆弱性