JVNDB-2004-000087

OpenSSL における未知の TLS メッセージ形式の扱いによるサービス運用妨害 (DoS) の脆弱性

OpenSSL には、 TLS の実装に不備があるため、意図的に作成した TLS メッセージを含む SSL/TLS 通信を行うわれた場合、未知の TLS メッセージ形式を扱うことにより、 無限ループが発生する脆弱性が存在します。

なお、本脆弱性は OpenSSL ライブラリを使用しているアプリケーションならびにシステムも影響を受ける可能性があります。
その他システムに関する詳細情報については NISCC-224012 (JVN)、NISCC Advisory 224012 (CPNI Advisory 00389) を併せてご確認ください。

OpenSSL Project

• OpenSSL 0.9.6
• OpenSSL 0.9.6a
• OpenSSL 0.9.6b
• OpenSSL 0.9.6c

SGI

• SGI ProPack 2.3  
• SGI ProPack 2.4  

Vine Linux

• Vine Linux 2.5  
• Vine Linux 2.6  

サン・マイクロシステムズ

• Sun Crypto Accelerator 500
• Sun Crypto Accelerator 1000 v1.0
• Sun Crypto Accelerator 1000 v1.1
• Sun Crypto Accelerator 4000 v1.0

ジュニパーネットワークス

• NetScreen IDP 2.0 - 2.1r6
• NetScreen IVE 全てのバージョン

ターボリナックス

• Turbolinux Advanced Server 6  
• Turbolinux Appliance Server 1.0 (hosting) 
• Turbolinux Appliance Server 1.0 (workgroup) 
• Turbolinux Desktop 10 
• Turbolinux Server 6.5  
• Turbolinux Server 7  
• Turbolinux Server 8  
• Turbolinux Server 6.1  
• Turbolinux Workstation 7  
• Turbolinux Workstation 8  
• Turbolinux Workstation 6.0  

チェック・ポイント・ソフトウェア・テクノロジーズ

• FireWall-1 GX v2.0
• Provider-1 NG およびこれ以降のバージョン
• VPN-1/FireWall-1 NG およびこれ以降のバージョン
• VPN-1/FireWall-1 VSX NG with Application Intelligence

トレンドマイクロ

• TrendMicro InterScan VirusWall 3.81

ヒューレット・パッカード

• HP-UX AAA Server A.06.01.02.04 およびそれ以前
• HP-UX AAA Server A.06.01.02.06
• HP-UX 11.00 
• HP-UX 11.11 
• HP-UX 11.23 

ミラクル・リナックス

• Asianux Server 2.0 
• Asianux Server 2.1 

レッドハット

• Red Hat Enterprise Linux 2.1 (as) 
• Red Hat Enterprise Linux 3 (as) 
• Red Hat Enterprise Linux 2.1 (es) 
• Red Hat Enterprise Linux 3 (es) 
• Red Hat Enterprise Linux 2.1 (ws) 
• Red Hat Enterprise Linux 3 (ws) 
• Red Hat Linux 9  

富士通

• IPCOMシリーズ (詳細はベンダが提供する情報をご確認ください)
• NetShelterシリーズ (詳細はベンダが提供する情報をご確認ください)
• NetWatcher (センサ装置)
• PRIMERGY SSLAccelerator 7110
• PRIMERGY SSLAccelerator 7115
• PRIMERGY SSLAccelerator 7117

OpenSSL を使用するアプリケーションがサービス運用妨害 (DoS) 状態となる可能性があります。

ベンダ情報及び参考情報を参照して適切な対策を実施してください。

OpenSSL Project

• OpenSSL : Top Page （2007/01/04 現在 本脆弱性に関する情報は確認できませんでした）

SGI

• SGI Security Advisory : 20040304-01-U

Vine Linux

• 更新/障害/セキュリティ : openssl にセキュリティホール

サン・マイクロシステムズ

• Sun Alert Notification : 57571
• Sun Alert Notification : 57524
• Sun Alert Notification 日本語版 : 57571
• Sun Alert Notification 日本語版 : 57524

ジュニパーネットワークス

• Juniper Networks Security Notice : NetScreen Advisory 58466

ターボリナックス

• Turbolinux Security Advisory (英語) : TLSA-2004-9
• 製品セキュリティ情報 : TLSA-2004-9

チェック・ポイント・ソフトウェア・テクノロジーズ

• Check Point Software Technologies Alert : OpenSSL Vulnerability
• セキュリティ・アラート : OpenSSL に関する脆弱性

トレンドマイクロ

• TrendMicro Solution : 19387

ヒューレット・パッカード

• HP Security Bulletin : HPSBUX01011
• HP セキュリティ報告 : HPSBUX01011

ミラクル・リナックス

• MIRACLE LINUX アップデート情報 : openssl096

レッドハット

• Red Hat Security Advisory : RHSA-2004:120
• Red Hat Security Advisory : RHSA-2004:119
• Red Hat Security Advisory : RHSA-2004:121
• レッドハット セキュリティーアップデート : RHSA-2004:120
• レッドハット セキュリティーアップデート : RHSA-2004:119

富士通

• 富士通 : IPCOMシリーズのOpenSSL脆弱性への対応について
• 富士通 セキュリティ情報 : [重要] OpenSSL脆弱性への対応について
• 富士通 公開脆弱性情報 : 224012

1. CVE-2004-0081

1. JVN : JVNTA04-078A
2. JVN : NISCC-224012
3. JVN Status Tracking Notes : TRTA04-078A
4. National Vulnerability Database (NVD) : CVE-2004-0081
5. JPCERT REPORT : JPCERT-WR-2004-1201
6. JPCERT REPORT : JPCERT-WR-2004-1301
7. JPCERT REPORT : JPCERT-WR-2004-1701
8. JPCERT REPORT : JPCERT-WR-2004-1801
9. 警察庁 @police : OpenSSLの脆弱性について(3/18)
10. US-CERT Vulnerability Note : VU#465542
11. US-CERT Technical Cyber Security Alert : TA04-078A
12. CIAC Bulletins : o-101
13. NISCC Vulnerability Advisory : 224012
14. CPNI Vulnerability Advisory : 00389
15. SecurityFocus : 9899
16. ISS X-Force Database : 15509
17. SecurityTracker : 1009458

• [2007年04月01日]
    掲載