JVNDB-2003-000095

OpenSSL の RSA 暗号化アルゴリズムにおける情報漏洩の脆弱性

OpenSSL には RSA が暗号化アルゴリズムに利用されている場合、PKCS#1 の処理内でのバージョン番号の取り扱いの不備により、クライアントとサーバの間でセッションに渡って共有される秘密の値) が漏洩する脆弱性が存在します。

OpenSSL Project

• OpenSSL 0.9.7a およびそれ以前

オラクル

• Oracle Application Server 1.0.2.2
• Oracle Application Server 9.0.2
• Oracle Application Server 9.0.3
• Oracle Database 8.1.7.4
• Oracle Database 9.0.1.4
• Oracle Database 9.2.0.2
• Oracle Database 9.2.0.3
• Oracle Database 9.2.0.4

サン・マイクロシステムズ

• Sun Cobalt RaQ4
• Sun Cobalt RaQ550
• Sun Cobalt RaQXTR

ターボリナックス

• Turbolinux Server 6.5  
• Turbolinux Server 7  
• Turbolinux Server 8  

ヒューレット・パッカード

• HP-UX 11.00 
• HP-UX 11.11 
• HP-UX 11.20 
• HP-UX 11.22 

レッドハット

• Red Hat Linux 6.2  
• Red Hat Linux 7.0  
• Red Hat Linux 7.1  
• Red Hat Linux 7.2  
• Red Hat Linux 7.3  
• Red Hat Linux 8.0  
• Red Hat Linux 9  

暗号化された通信内容を解読される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

OpenSSL Project

• OpenSSL Security Advisory : secadv_20030319

オラクル

• オラクル・セキュリティ・アラート : #62

サン・マイクロシステムズ

• Sun Cobalt RaQ Patches : XTR Apache & SSL Security 1.0.1
• Sun Cobalt RaQ Patches : 550 Apache & SSL Security 0.0.1
• Sun Cobalt RaQ Patches : 4 Apache & SSL Security 2.0.1

ターボリナックス

• Turbolinux Security Advisory (英語) : TLSA-2003-22
• 製品セキュリティ情報 : TLSA-2003-22

ヒューレット・パッカード

• HP Security Bulletin : HPSBUX0304-255
• HP セキュリティ報告 : HPSBUX0304-255

レッドハット

• Red Hat Security Advisory : RHSA-2003:101
• レッドハット セキュリティーアップデート : RHSA-2003:101

1. その他(CWE-Other) [NVD評価]

1. CVE-2003-0131

1. National Vulnerability Database (NVD) : CVE-2003-0131
2. SecurityFocus : 7184

• [2007年04月01日]
    掲載