【活用ガイド】

[English]

JVNDB-2005-000601

OpenSSL におけるバージョン・ロールバックの脆弱性

概要

OpenSSL Project より提供されている OpenSSL には、バージョン・ロールバックが可能な脆弱性が存在します。

TLS プロトコルを定めている RFC2246 では、バージョン・ロールバック攻撃を避けるために、TLS 1.0 が使用できる場合には SSL 2.0 を利用しないことを定めています。

本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCがベンダおよびCERT/CCとの調整を行いました。
報告者: 産業技術総合研究所 情報セキュリティ研究センター 大岩 寛 氏

CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 2.6 (注意) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 高
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): なし
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): なし
影響を受けるシステム


OpenSSL Project
  • OpenSSL 0.9.6h およびそれ以前
  • OpenSSL 0.9.7a およびそれ以前
サン・マイクロシステムズ
  • Sun Solaris 10 (sparc) 
  • Sun Solaris 10 (x86) 
センチュリー・システムズ
  • MV-630 Ver1.4.0 以前
  • RA-350 Ver2.2.0 以前
ターボリナックス
  • Turbolinux Appliance Server 1.0 (hosting) 
  • Turbolinux Appliance Server 1.0 (workgroup) 
  • Turbolinux Appliance Server 2.0  
  • Turbolinux FUJI
  • Turbolinux Multimedia
  • Turbolinux Personal
  • Turbolinux Server 10  
  • Turbolinux Server 11  
  • Turbolinux Server 11 (x64) 
  • Turbolinux Server 8  
  • Turbolinux Server 10 (x64) 
  • wizpy
トレンドマイクロ
  • InterScan Messaging Security Suite for Linux 5.11
  • InterScan Messaging Security Suite for Solaris 5.11
  • TrendMicro InterScan VirusWall 3.81 およびそれ以前
  • TrendMicro InterScan Web Security Suite for Linux 1.02
  • TrendMicro InterScan Web Security Suite for Solaris 1.1
  • TrendMicro InterScan Web Security Suite for Windows 1.01
ヒューレット・パッカード
  • HP-UX 11.11 
  • HP-UX 11.23 
  • HP-UX 11.00 
ミラクル・リナックス
  • Asianux Server 3.0 
  • Asianux Server 3.0 (x86-64) 
  • Asianux Server 4.0 
  • Asianux Server 4.0 (x86-64) 
  • Asianux Server 2.0 Standard Edition
  • Asianux Server 2.1 Standard Edition
レッドハット
  • Red Hat Enterprise Linux 2.1 (as) 
  • Red Hat Enterprise Linux 3 (as) 
  • Red Hat Enterprise Linux 4 (as) 
  • Red Hat Enterprise Linux 2.1 (es) 
  • Red Hat Enterprise Linux 3 (es) 
  • Red Hat Enterprise Linux 4 (es) 
  • Red Hat Enterprise Linux 2.1 (ws) 
  • Red Hat Enterprise Linux 3 (ws) 
  • Red Hat Enterprise Linux 4 (ws) 
  • Red Hat Linux Advanced Workstation 2.1 
日立
  • Cosminexus Application Server Enterprise Version 6
  • Cosminexus Application Server Standard Version 6
  • Cosminexus Application Server Version 5
  • Cosminexus Developer Light Version 6
  • Cosminexus Developer Professional Version 6
  • Cosminexus Developer Standard Version 6
  • Cosminexus Developer Version 5
  • Cosminexus Server - Enterprise Edition
  • Cosminexus Server - Standard Edition
  • Cosminexus Server - Standard Edition Version 4
  • Cosminexus Server - Web Edition
  • Cosminexus Server - Web Edition Version 4
  • Hitachi Web Server
  • Hitachi Web Server - Custom Edition
  • Hitachi Web Server - Security Enhancement
  • Hitachi Web Server for VOS3
  • uCosminexus Application Server Enterprise
  • uCosminexus Application Server Smart Edition
  • uCosminexus Application Server Standard
  • uCosminexus Developer Professional
  • uCosminexus Developer Light
  • uCosminexus Developer Standard
  • uCosminexus Service Architect
  • uCosminexus Service Platform
富士通
  • IPCOMシリーズ
  • バイオ認証装置

本脆弱性の影響を受ける日立製品の詳細については、ベンダ情報 HS06-022 をご確認ください。
本脆弱性の影響を受ける富士通製品の詳細については、ベンダ情報 バイオ認証装置のOpenSSLおよびmod_sslの脆弱性に関するお知らせ をご確認ください。
想定される影響

攻撃者が管理する経路を通して OpenSSL による通信を行う場合、強制的に暗号化方式を TLS 1.0 や SSL 3.0 から SSL 2.0 に変更され、盗聴や改ざん等の MITM (Man In The Middle) 攻撃を受ける可能性があります。
対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報

OpenSSL Project サン・マイクロシステムズ
  • Sun Alert Notification : 101974
  • Sun Alert Notification 日本語版 : 101974
センチュリー・システムズ ターボリナックス トレンドマイクロ ヒューレット・パッカード ミラクル・リナックス レッドハット 日立
  • Hitachi Software Vulnerability Information : HS06-022
  • ソフトウェア製品セキュリティ情報 : HS06-022
富士通
CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2005-2969
参考情報

  1. JVN : JVN#23632449
  2. National Vulnerability Database (NVD) : CVE-2005-2969
  3. IPA セキュリティセンター : JVN_23632449
  4. Secunia Advisory : SA17151
  5. SecurityFocus : 15071
  6. SecuriTeam : 6Y00D0AEBW
  7. FrSIRT Advisories : FrSIRT/ADV-2005-2036
更新履歴

  • [2007年04月01日]
      掲載
    [2007年12月03日]
      影響を受けるシステム:ターボリナックス (TLSA-2007-52) の情報追加
      ベンダ情報: ターボリナックス (TLSA-2007-52) 追加
    [2014年05月22日]
      影響を受けるシステム:日立 (HS06-022) の情報を追加
      ベンダ情報:日立 (HS06-022) を追加