公開日:2004/03/19 最終更新日:2005/10/04

NISCC-224012
OpenSSL に複数の脆弱性

概要


OpenSSL の SSL/TLS ハンドシェイク処理に複数の脆弱性があります。これらの脆弱性は、脆弱な OpenSSL ライブラリを使用しているプログラム (サーバソフトウェアなど) の実装にも影響を与えます。

影響を受けるシステム


  • バージョン 0.9.6l およびそれ以前の 0.9.6系列
    • バージョン 0.9.7c およびそれ以前の 0.9.7系列
    • OpenSSL SSL/TLS ライブラリを使用しているアプリケーションならびにシステム

    詳細情報

    想定される影響


    脆弱な OpenSSL ライブラリを使用しているプログラム (サーバソフトウェアなど) がサービス運用妨害 (denial-of-service, DoS) 攻撃を受ける可能性があります。

    対策方法

    参考情報

    1. US-CERT Technical Cyber Security Alert TA04-078A
      Multiple Vulnerabilities in OpenSSL
    2. US-CERT Vulnerability Note VU#288574
      OpenSSL contains null-pointer assignment in do_change_cipher_spec() function
    3. US-CERT Vulnerability Note VU#484726
      OpenSSL contains a flaw in the code that processes SSL/TLS handshakes when configured to use the Kerberos cipher suites
    4. US-CERT Vulnerability Note VU#465542
      OpenSSL does not properly handle unknown message types
    5. CIAC Bulletin O-101
      OpenSSL Denial of Service Vulnerability
    6. ISS X-Force Database: openssl-dochangecipherspec-dos(15505)
      OpenSSL do_change_cipher_spec function denial of service
    7. ISS X-Force Database: openssl-kerberos-ciphersuites-dos(15508)
      OpenSSL on a server configured with Kerberos ciphersuites denial of service
    8. ISS X-Force Database: openssl-tls-dos(15509)
      OpenSSL unknown TLS message types denial of service
    9. 警察庁
      OpenSSLの脆弱性について(3/18)

    JPCERT/CCからの補足情報

    JPCERT/CCによる脆弱性分析結果

    謝辞

    関連文書

    JPCERT 緊急報告
    JPCERT REPORT JPCERT-WR-2004-1201
    JPCERT/CC REPORT 2004-03-24
    JPCERT-WR-2004-1301
    JPCERT/CC REPORT 2004-03-31
    JPCERT-WR-2004-1701
    JPCERT/CC REPORT 2004-02-04
    JPCERT-WR-2004-1801
    JPCERT/CC REPORT 2004-05-12
    CERT Advisory
    CPNI Advisory
    TRnotes TRTA04-078A
    CVE CAN-2004-0079
    VU#288574,XF15505
    CAN-2004-0112
    VU#484726,XF15508
    CAN-2004-0081
    VU#465542,XF15509
    JVN iPedia