TRCA-2003-26
SSL/TLS の実装に複数の脆弱性
Secure Sockets Layer (SSL) と Transport Layer Security (TLS) プロトコルの実装の多くに、Abstract Syntax Notation One (ASN.1) 処理に関連する脆弱性の存在が確認されました。
結果として、サービス運用妨害 (denial-of-service, DoS) 攻撃を受けたり、遠隔から第三者が任意のコードを実行する可能性があります。
影響を受けるシステム
- OpenSSL 0.9.6j ならびにそれ以前
- OpenSSL 0.9.6k (VU#412478 - OpenSSL 0.9.6k does not properly handle ASN.1 sequences)
- OpenSSL 0.9.7b ならびにそれ以前
- SSL/TLS を実装している多くのシステム
- SSLeay ライブラリ
なお、2003 年 11 月 5 日(水) 時点での最新版は以下のバージョンです。
- OpenSSL 0.9.6l
- OpenSSL 0.9.7c
| 日時 (JST) | 内容 |
| 2003-09-30 21:57 | @Police #Last-Modified: Tue, 30 Sep 2003 12:57:24 GMT |
| 2003-09-30 22:25:57 | OpenSSL OpenSSL Security Advisory [30 September 2003] を Web 掲載
#Last-Modified: Tue, 30 Sep 2003 13:25:57 GMT |
| 2003-09-30 23:27:42 | NISCC NISCC Vulnerability Advisory 006489/OpenSSL, NISCC Vulnerability Advisory - 006489/TLS を Web 公開
#Last-Modified: Tue, 30 Sep 2003 14:27:42 GMT |
| 2003-09-30 23:27:50 | Bugtraq に "[OpenSSL Advisory] Vulnerabilities in ASN.1 parsing" が投稿される
#Post-Date: Sep 30 2003 2:27PM |
| 2003-10-01 10:34 | @Police OpenSSLの脆弱性について(9/30) を Web 公開
#Last-Modified: Wed, 01 Oct 2003 01:34:20 GMT |
| 2003-10-02 08:37 | First メーリングリスト経由で CA-2003-26 が届く
#Post-Date: Thu, 2 Oct 2003 08:27:50 JST |
| 2003-10-02 09:04 | JPCERT メーリングリスト経由で CA-2003-26 の FYI が届く
#Post-Date: Thu, 2 Oct 2003 08:56:24 JST |
| 2003-10-02 09:28 | CERT メーリングリスト経由で CA-2003-26 が届く
#Post-Date: Thu, 2 Oct 2003 08:29:53 JST |
| 2003-11-04 21:00 | OpenSSL OpenSSL Security Advisory [4 November 2003] を Web 掲載
OpenSSL 0.9.6k の ASN.1 処理において、DoS(Denial of Service)を引き起こす可能性のある脆弱性 (VU#4124780 - OpenSSL 0.9.6k does not properly handle ASN.1 sequences) が新たに確認された #Last-Modified: Tue, 04 Nov 2003 12:00:06 GMT |
| 2003-11-04 21:10 | NISCC NISCC Vulnerability Advisory 006489/OpenSSL2 を Web 公開
#Last-Modified: Tue, 04 Nov 2003 12:10:57 GMT |
| 2003-11-04 22:11 | @Police S/MIME、X.400及びOpenSSLの脆弱性について(11/4) を Web 公開
#Last-Modified: Tue, 04 Nov 2003 13:11:07 GMT |
| 2004-01-16 06:55 | Vuln-Dev に "OpenSSL ASN.1 parsing bugs PoC / brute forcer" が投稿される
#Cid: sslexp.c #Cid: ASN.1-Brute.c #Post-Date: Thu, 15 Jan 2004 22:55:01 +0100 |
- CERT Advisory CA-2003-26
Multiple Vulnerabilities in SSL/TLS Implementations - Vendor Status Note JVNCA-2003-26
SSL/TLS の実装に複数の脆弱性
