JVNDB-2010-002615

OpenSSL における暗号を強制的に利用される脆弱性

OpenSSL は、SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG が有効な際、セッションキャッシュ内にある暗号スイートへの変更を適切に制限しないため、利用できない暗号を強制的に利用される脆弱性が存在します。
本脆弱性は CVE-2010-4180 とは異なる脆弱性です。

OpenSSL Project

• OpenSSL 0.9.8j 未満

VMware

• VMware ESX 3.0.3
• VMware ESX 3.5
• VMware ESX 4.0
• VMware ESX 4.1

オラクル

• Oracle Solaris 10 

ミラクル・リナックス

• Asianux Server 3 (x86) 
• Asianux Server 3 (x86-64) 
• Asianux Server 3.0 
• Asianux Server 3.0 (x86-64) 
• Asianux Server 4.0 
• Asianux Server 4.0 (x86-64) 

レッドハット

• Red Hat Enterprise Linux 4 (as) 
• Red Hat Enterprise Linux 4.8 (as) 
• Red Hat Enterprise Linux 4 (es) 
• Red Hat Enterprise Linux 4.8 (es) 
• Red Hat Enterprise Linux 4 (ws) 
• Red Hat Enterprise Linux Desktop 4.0 

第三者により、利用できない暗号を強制的に利用される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

OpenSSL Project

• OpenSSL : 17489

VMware

• VMware Security Advisories : VMSA-2011-0013

オラクル

• SECURITY BLOG : cve_2008_7270_vulnerability_in
• SECURITY BLOG : Multiple OpenSSL vulnerabilities in Sun SPARC Enterprise M-series XCP Firmware

ミラクル・リナックス

• Asianux Technical Support Network : openssl-0.9.8e-12.AXS3.7
• MIRACLE LINUX アップデート情報 : 2168

レッドハット

• Red Hat Security Advisory : RHSA-2010:0977

1. 暗号の問題(CWE-310) [NVD評価]

1. CVE-2008-7270

1. National Vulnerability Database (NVD) : CVE-2008-7270
2. SecurityFocus : 45254

• [2011年01月13日]
    掲載
  [2011年05月09日]
    影響を受けるシステム：オラクル (cve_2008_7270_vulnerability_in) の情報を追加
    影響を受けるシステム：レッドハット (RHSA-2010:0977) の情報を追加
    ベンダ情報：オラクル (cve_2008_7270_vulnerability_in) を追加
    ベンダ情報：レッドハット (RHSA-2010:0977) を追加
  [2012年10月01日]
    ベンダ情報：オラクル (Multiple OpenSSL vulnerabilities in Sun SPARC Enterprise M-series XCP Firmware) を追加
  [2012年12月18日]
    影響を受けるシステム：VMware (VMSA-2011-0013) の情報を追加
    ベンダ情報：VMware (VMSA-2011-0013) を追加