公開日:2016/05/06 最終更新日:2023/07/03
JVNVU#93163809
OpenSSL に複数の脆弱性
OpenSSL には、複数の脆弱性が存在します。
- OpenSSL 1.0.2h より前のバージョン
- OpenSSL 1.0.1t より前のバージョン
OpenSSL には、次の複数の脆弱性が存在します。
- ASN.1 エンコーダにメモリ破損 - CVE-2016-2108 (重要度:高)
- AES-NI CBC MAC チェックに対するパディングオラクル攻撃 - CVE-2016-2107 (重要度:高)
- EVP_EncodeUpdate() にバッファオーバーフロー - CVE-2016-2105 (重要度:低)
- EVP_EncryptUpdate() にバッファオーバーフロー - CVE-2016-2106 (重要度:低)
- BIO 経由で読み込んだ ASN.1 データの処理にサービス運用妨害 (DoS) - CVE-2016-2109 (重要度:低)
- EBCDIC システムにおける X509_NAME_oneline() 関数の ASN.1 データの処理にサービス運用妨害 (DoS) - CVE-2016-2176 (重要度:低)
想定される影響は各脆弱性により異なりますが、任意のコードを実行されたり、情報が漏えいしたり、サービス運用妨害 (DoS) 状態にされたりする可能性があります。
アップデートする
本脆弱性を修正した OpenSSL 1.0.1t および 1.0.2h がリリースされています。
開発者が提供する情報をもとに、最新版へアップデートしてください。
| ベンダ | ステータス | ステータス 最終更新日 |
ベンダの告知ページ |
|---|---|---|---|
| ジェイティ エンジニアリング株式会社 | 該当製品無し | 2016/05/06 | |
| ビー・ユー・ジーDMG森精機株式会社 | 該当製品無し | 2016/05/10 | |
| 日本電気株式会社 | 該当製品あり | 2023/06/30 | |
| 株式会社アラタナ | 該当製品あり | 2016/05/31 | 株式会社アラタナ の告知ページ |
| ベンダ | リンク |
| OpenSSL Software Foundation | OpenSSL Security Advisory [3rd May 2016] |
| OpenSSL 1.0.2 Series Release Notes | |
| OpenSSL 1.0.1 Series Release Notes |
| JPCERT 緊急報告 |
|
| JPCERT REPORT | |
| CERT Advisory | |
| CPNI Advisory | |
| TRnotes | |
| CVE |
CVE-2016-2108 |
|
CVE-2016-2107 |
|
|
CVE-2016-2105 |
|
|
CVE-2016-2106 |
|
|
CVE-2016-2109 |
|
|
CVE-2016-2176 |
|
| JVN iPedia |
- 2016/05/09
- ジェイティ エンジニアリング株式会社のベンダステータスが更新されました
- 2016/05/11
- ビー・ユー・ジーDMG森精機株式会社のベンダステータスが更新されました
- 2016/06/01
- 株式会社アラタナのベンダステータスが更新されました
- 2016/08/19
- 日本電気株式会社のベンダステータスが更新されました
- 2017/02/01
- 日本電気株式会社のベンダステータスが更新されました
- 2017/07/25
- 日本電気株式会社のベンダステータスが更新されました
- 2017/10/02
- 日本電気株式会社のベンダステータスが更新されました
- 2018/02/06
- 日本電気株式会社のベンダステータスが更新されました
- 2019/09/13
- 日本電気株式会社のベンダステータスが更新されました
- 2019/10/28
- 日本電気株式会社のベンダステータスが更新されました
- 2020/12/22
- 日本電気株式会社のベンダステータスが更新されました
- 2023/07/03
- 日本電気株式会社のベンダステータスが更新されました
