公開日:2006/09/29 最終更新日:2015/10/21

NISCC-729618
X.509 証明書の検証におけるサービス運用妨害 (DoS) の脆弱性

概要


X.509 は ITU-T で標準化された電子証明書の規格です。X.509 証明書には公開鍵が含まれており、電子署名の検証等様々な目的に幅広く利用されています。

巧妙に細工された証明書が使用された場合、署名検証を行うアプリケーションによってはサービス運用妨害 (DoS) を引き起こされる可能性があります。


影響を受けるシステム


  • 証明書の検証を行うソフトウェア全般に影響を与える可能性があります。詳しくは、ベンダの提供する情報をご参照ください。

    • 詳細情報

    想定される影響


    遠隔の第三者により、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。

    対策方法

    ベンダ情報

    ベンダ ステータス ステータス
    最終更新日    		 ベンダの告知ページ
    アライドテレシス株式会社 該当製品あり 2007/11/08
    センチュリー・システムズ 該当製品無し(調査中) 2006/10/02
    リコー 該当製品あり 2008/02/18
    古河電気工業 該当製品あり 2006/09/29
    富士通株式会社 該当製品あり 2015/10/13
    日本電気 該当製品無し(調査中) 2006/09/29
    日立 該当製品無し(調査中) 2006/09/29
    横河電機 該当製品無し(調査中) 2006/09/29
    ベンダ リンク
    OpenSSL project OpenSSL Security Advisory (28th September 006)

    参考情報

    1. Vulnerability Note VU#423396
      X.509 certificate verification may be vulnerable to resource exhaustion

    JPCERT/CCからの補足情報

    JPCERT/CCによる脆弱性分析結果

    謝辞

    関連文書

    JPCERT 緊急報告
    JPCERT REPORT
    CERT Advisory
    CPNI Advisory
    TRnotes
    CVE CVE-2006-2940
    JVN iPedia

    更新履歴

    2006/09/29
    横河電機の NISCC-729618への対応が更新されました。
    2006/09/29
    アライドテレシス株式会社の NISCC-729618への対応が更新されました。
    2006/09/29
    横河電機の NISCC-729618への対応が更新されました。
    2006/09/29
    富士通の NISCC-729618への対応が更新されました。
    2006/09/29
    古河電気工業の NISCC-729618への対応が更新されました。
    2006/09/29
    日本電気の NISCC-729618への対応が更新されました。
    2006/09/29
    日立の NISCC-729618への対応が更新されました。
    2006/10/02
    センチュリー・システムズの NISCC-729618への対応が更新されました。
    2006/10/06
    ベンダ情報:アライドテレシス株式会社の情報を更新しました。
    2006/10/06
    アライドテレシス株式会社の NISCC-729618への対応が更新されました。
    2007/02/15
    ベンダ情報:富士通の情報を更新しました。
    2007/02/15
    富士通の NISCC-729618への対応が更新されました。
    2014/10/27
    富士通株式会社のベンダステータスが更新されました
    2015/10/21
    富士通株式会社のベンダステータスが更新されました