JVNDB-2006-000594

OpenSSL の SSL_get_shared_ciphers() 関数におけるバッファオーバーフローの脆弱性

OpenSSL ライブラリのユーティリティ関数の1つに、通信に使う暗号化アルゴリズムのリストを可読な文字列として出力する SSL_get_shared_ciphers() があります。 SSL_get_shared_ciphers() の処理にはバッファオーバフローの脆弱性があります。

OpenSSL Project

• OpenSSL 0.9.7k およびそれ以前
• OpenSSL 0.9.8c およびそれ以前

オラクル

• Oracle E-Business Suite 11.5.10CU2
• Oracle HTTP Server 9.2.0.8

サン・マイクロシステムズ

• Sun Solaris 10 (sparc) 
• Sun Solaris 10 (x86) 

ターボリナックス

• Turbolinux 10_f 
• Turbolinux Appliance Server 1.0 (hosting) 
• Turbolinux Appliance Server 1.0 (workgroup) 
• Turbolinux Appliance Server 2.0  
• Turbolinux Desktop 10 
• Turbolinux FUJI
• Turbolinux Multimedia
• Turbolinux Personal
• Turbolinux Server 10  
• Turbolinux Server 10 (x64) 
• Turbolinux Server 7  
• Turbolinux Server 8  
• Turbolinux Server 11  
• Turbolinux Server 11 (x64) 
• ターボリナックス ホーム 
• wizpy

トレンドマイクロ

• TrendMicro InterScan Web Security Suite 1.1 Solaris版

ヒューレット・パッカード

• HP-UX 11.11 
• HP-UX 11.23 

ミラクル・リナックス

• Asianux Server 4.0 
• Asianux Server 4.0 (x86-64) 
• Asianux Server 2.0 
• Asianux Server 2.1 

レッドハット

• Red Hat Enterprise Linux 2.1 (as) 
• Red Hat Enterprise Linux 3 (as) 
• Red Hat Enterprise Linux 4 (as) 
• Red Hat Enterprise Linux 2.1 (es) 
• Red Hat Enterprise Linux 3 (es) 
• Red Hat Enterprise Linux 4 (es) 
• Red Hat Enterprise Linux 2.1 (ws) 
• Red Hat Enterprise Linux 3 (ws) 
• Red Hat Enterprise Linux 4 (ws) 
• Red Hat Enterprise Linux Desktop 3.0 
• Red Hat Enterprise Linux Desktop 4.0 
• Red Hat Linux Advanced Workstation 2.1 

OpenSSL を使用するアプリケーションの権限で任意のコードを実行される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

OpenSSL Project

• OpenSSL Security Advisory : secadv_20060928

オラクル

• Critical Patch Updates and Security Alerts : Critical Patch Update - January 2007
• オラクル・セキュリティ・アラート : Critical Patch Update - January 2007

サン・マイクロシステムズ

• Sun Alert Notification : 102711

ターボリナックス

• Turbolinux Security Advisory (英語) : TLSA-2006-33
• Turbolinux Security Advisory (英語) : TLSA-2007-52
• 製品セキュリティ情報 : TLSA-2006-33
• 製品セキュリティ情報 : TLSA-2007-52

トレンドマイクロ

• Trend Micro ReadMe Documentation : readme_iwss11_sol_patch7_b1182

ヒューレット・パッカード

• HP Security Bulletin : HPSBUX02174
• HP セキュリティ報告 : HPSBUX02174

ミラクル・リナックス

• MIRACLE LINUX アップデート情報 : openssl (V4.0)
• MIRACLE LINUX アップデート情報 : openssl (V2.x)

レッドハット

• Red Hat Security Advisory : RHSA-2006:0695
• レッドハット セキュリティーアップデート : RHSA-2006:0695

富士通

• 富士通 セキュリティ情報 : vu386964-547300

1. バッファエラー(CWE-119) [NVD評価]

1. CVE-2006-3738

1. JVN : JVNTA06-333A
2. JVN : JVNVU#547300
3. JVN : JVNTA07-017A
4. JVN Status Tracking Notes : TRTA06-333A
5. JVN Status Tracking Notes : TRTA07-017A
6. National Vulnerability Database (NVD) : CVE-2006-3738
7. US-CERT Cyber Security Alerts : SA06-333A
8. US-CERT Vulnerability Note : VU#547300
9. US-CERT Technical Cyber Security Alert : TA06-333A
10. US-CERT Technical Cyber Security Alert : TA07-017A
11. Secunia Advisory : SA22130
12. SecurityFocus : 20249
13. FrSIRT Advisories : FrSIRT/ADV-2006-3820

• [2007年04月01日]
    掲載
  [2007年05月29日]
    影響を受けるシステムを更新しました。
    ベンダ情報: ミラクル・リナックスの情報を追加しました。
  [2007年12月03日]
    影響を受けるシステム：ターボリナックス (TLSA-2007-52) の情報追加。
    ベンダ情報：ターボリナックス (TLSA-2007-52) 追加。
  [2008年12月09日]
    影響を受けるシステム：トレンドマイクロ (readme_iwss11_sol_patch7_b1182) の情報を追加
    ベンダ情報：トレンドマイクロ (readme_iwss11_sol_patch7_b1182) を追加