JVNDB-2004-000086

JVNDB-2004-000086
OpenSSL の do_change_cipher_spec() 関数におけるサービス運用妨害 (DoS) の脆弱性
概要
OpenSSL は、SSL/TLS の実装の不備により、do_change_cipher_spec() 関数において、NULL ポインタが適切に処理されない脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)
CVSS v3 による深刻度基本値: 7.5 (重要) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): なし完全性への影響(I): なし可用性への影響(A): 高 CVSS v2 による深刻度基本値: 5.0 (警告) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): なし可用性への影響(A): 部分的
影響を受けるシステム

NetBSD NetBSD 1.5 NetBSD 1.5.1 NetBSD 1.5.2 NetBSD 1.5.3 NetBSD 1.6 NetBSD 1.6.1 NetBSD 1.6.2 NetBSD 2.0 OpenBSD OpenBSD 3.4 OpenSSL Project OpenSSL 0.9.7c およびそれ以前 Vine Linux Vine Linux 2.5 Vine Linux 2.6 サイバートラスト株式会社 Asianux Server 2.0 Asianux Server 2.1 Asianux Server 3.0 Asianux Server 3.0 (x86-64) Asianux Server 4.0 Asianux Server 4.0 (x86-64) サン・マイクロシステムズ Sun Cobalt RaQ4 Sun Crypto Accelerator 500 Sun Crypto Accelerator 1000 v1.0 Sun Crypto Accelerator 1000 v1.1 Sun Crypto Accelerator 4000 v1.0 シスコシステムズ Cisco Access Registrar (CAR) Cisco Application and Content Networking System (ACNS) Cisco CSS Secure Content Accelerator バージョン 1 および 2 Cisco Firewall Services Module (FWSM) (Cisco Catalyst 6500 用, Cisco 7600 用) Cisco Okena Stormwatch 3.2 Cisco Threat Response (CTR) CiscoWorks Common Management Foundation (CMF) 2.1 CiscoWorks Common Services (CWCS) 2.2 Cisco IOS 12.1 Cisco IOS 12.2 Cisco Call Manager (CCM) Cisco CSS 11000 シリーズ Cisco CSS 11500 シリーズ Cisco Global Site Selector (GSS) 4480 および 4490 Cisco MDS 9000 シリーズ Multilayer Switch Cisco PIX Firewall 6.3 Cisco PIX Firewall 6.2 Cisco PIX Firewall 6.1 Cisco PIX Firewall 6.0 ジュニパーネットワークス NetScreen IDP 2.0 - 2.1r6 NetScreen IVE 全てのバージョンターボリナックス Turbolinux Appliance Server 1.0 (hosting) Turbolinux Appliance Server 1.0 (workgroup) Turbolinux Desktop 10 Turbolinux Server 6.5 Turbolinux Server 7 Turbolinux Server 8 Turbolinux Server 6.1 Turbolinux Workstation 7 Turbolinux Workstation 8 Turbolinux Workstation 6.0 チェック・ポイント・ソフトウェア・テクノロジーズ FireWall-1 GX v2.0 Provider-1 NG およびこれ以降のバージョン VPN-1/FireWall-1 NG およびこれ以降のバージョン VPN-1/FireWall-1 VSX NG with Application Intelligence トレンドマイクロ TrendMicro InterScan VirusWall 3.81 ヒューレット・パッカード HP WBEM Services for HP-UX A.02.00.00 HP WBEM Services for HP-UX A.01.05.08 およびそれ以前 HP WBEM Services for Linux A.02.00.01 HP-UX AAA Server A.06.01.02.04 およびそれ以前 HP-UX AAA Server A.06.01.02.06 HP-UX Apache-based Web Server 2.0.49.00 未満のバージョン HP-UX 11.00 HP-UX 11.04 HP-UX 11.11 HP-UX 11.22 HP-UX 11.23 レッドハット Red Hat Enterprise Linux 2.1 (as) Red Hat Enterprise Linux 3 (as) Red Hat Enterprise Linux 4 (as) Red Hat Enterprise Linux 2.1 (es) Red Hat Enterprise Linux 3 (es) Red Hat Enterprise Linux 4 (es) Red Hat Enterprise Linux 2.1 (ws) Red Hat Enterprise Linux 3 (ws) Red Hat Enterprise Linux 4 (ws) Red Hat Linux 9 富士通 IPCOMシリーズ (詳細はベンダが提供する情報をご確認ください) NetShelterシリーズ (詳細はベンダが提供する情報をご確認ください) NetWatcher (センサ装置) PRIMERGY SSLAccelerator 7110 PRIMERGY SSLAccelerator 7115 PRIMERGY SSLAccelerator 7117

想定される影響
OpenSSL を使用するアプリケーションがサービス運用妨害 (DoS) 状態となる可能性があります。
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
NetBSD NetBSD Security Advisory : NetBSD-SA2004-005 openbsd.org OpenBSD 3.4 errata : 016: RELIABILITY FIX: March 17, 2004 OpenSSL Project OpenSSL Security Advisory : secadv_20040317 Vine Linux 更新/障害/セキュリティ : openssl にセキュリティホールサイバートラスト株式会社 MIRACLE LINUX アップデート情報 : openssl096 MIRACLE LINUX アップデート情報 : AXSA-2005-129:1 サン・マイクロシステムズ Sun Alert Notification : 57571 Sun Alert Notification : 57524 Sun Alert Notification 日本語版 : 57571 Sun Alert Notification 日本語版 : 57524 Sun Cobalt RaQ Patches : 4 Apache Security Update 2.0.1 シスコシステムズ Cisco Security Advisory : cisco-sa-20040317-openssl ジュニパーネットワークス Juniper Networks Security Notice : NetScreen Advisory 58466 ターボリナックス Turbolinux Security Advisory (英語) : TLSA-2004-9 製品セキュリティ情報 : TLSA-2004-9 チェック・ポイント・ソフトウェア・テクノロジーズ Check Point Software Technologies Alert : openssl セキュリティ・アラート : OpenSSL に関する脆弱性トレンドマイクロ TrendMicro Solution : 19387 ヒューレット・パッカード HP Security Bulletin : HPSBMA01037 HP Security Bulletin : HPSBUX01019 HP Security Bulletin : HPSBUX01011 HP セキュリティ報告 : HPSBUX01019 HP セキュリティ報告 : HPSBUX01011 レッドハット Red Hat Security Advisory : RHSA-2005:830 Red Hat Security Advisory : RHSA-2005:829 Red Hat Security Advisory : RHSA-2004:120 Red Hat Security Advisory : RHSA-2004:121 レッドハットセキュリティーアップデート : RHSA-2005:830 レッドハットセキュリティーアップデート : RHSA-2005:829 レッドハットセキュリティーアップデート : RHSA-2004:120 富士通富士通 : IPCOMシリーズのOpenSSL脆弱性への対応について富士通セキュリティ情報 : [重要] OpenSSL脆弱性への対応について富士通公開脆弱性情報 : 224012
CWEによる脆弱性タイプ一覧 CWEとは?
NULL ポインタデリファレンス(CWE-476) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2004-0079
参考情報
JVN : JVNTA04-078A JVN : NISCC-224012 JVN Status Tracking Notes : TRTA04-078A National Vulnerability Database (NVD) : CVE-2004-0079 JPCERT REPORT : JPCERT-WR-2004-1801 JPCERT REPORT : JPCERT-WR-2004-1201 JPCERT REPORT : JPCERT-WR-2004-1301 JPCERT REPORT : JPCERT-WR-2004-1701 警察庁 @police : OpenSSLの脆弱性について(3/18) US-CERT Vulnerability Note : VU#288574 US-CERT Technical Cyber Security Alert : TA04-078A CIAC Bulletins : o-101 NISCC Vulnerability Advisory : 224012 CPNI Vulnerability Advisory : 00389 SecurityFocus : 9899 ISS X-Force Database : 15505 SecurityTracker : 1009458 SecuriTeam : 5OP0G20CAA
更新履歴
[2007年04月01日] 掲載


公表日	2004/03/17
登録日	2007/04/01
最終更新日	2007/04/01

OpenSSL の do_change_cipher_spec() 関数におけるサービス運用妨害 (DoS) の脆弱性