【活用ガイド】

JVNDB-2010-005667

OpenSSL の s3_pkt.c の ssl3_read_bytes 関数におけるセッション間でデータを挿入される脆弱性

概要

OpenSSL の s3_pkt.c の ssl3_read_bytes 関数には、SSL_MODE_RELEASE_BUFFERS が有効な場合、競合状態により、セッション間でデータを挿入される、またはサービス運用妨害 (Use-after-free および構文解析エラー) 状態にされる脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)

基本値: 4.0 (警告) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 高
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): なし
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): 部分的

影響を受けるシステム


IBM
  • IBM API Management 3.0 (IBM PureApplication System および XEN)
  • IBM API Management 3.0 (VMWare)
  • IBM InfoSphere Master Data Management Patient Hub 10.0
  • IBM InfoSphere Master Data Management Provider Hub 10.0
  • IBM InfoSphere Master Data Management Standard/Advanced Edition 11.0
  • IBM InfoSphere Master Data Management Standard/Advanced Edition 11.3
  • IBM Initiate Master Data Service 10.0
  • IBM Initiate Master Data Service 10.1
  • IBM Initiate Master Data Service 8.5
  • IBM Initiate Master Data Service 9.0
  • IBM Initiate Master Data Service 9.2
  • IBM Initiate Master Data Service 9.5
  • IBM Initiate Master Data Service 9.7
  • IBM Initiate Master Data Service Patient Hub 9.5
  • IBM Initiate Master Data Service Patient Hub 9.7
  • IBM Initiate Master Data Service Provider Hub 9.5
  • IBM Initiate Master Data Service Provider Hub 9.7
  • IBM SDK, for Node.js 1.1.0.3 およびそれ以前
  • IBM SmartCloud Orchestrator 2.3
  • IBM SmartCloud Orchestrator 2.3 FP1
  • IBM SmartCloud Provisioning 2.1 for IBM Provided Software Virtual Appliance
  • IBM SmartCloud Provisioning 2.3
  • IBM SmartCloud Provisioning 2.3 FP1
  • IBM Tivoli Management Framework 4.1.1 (linux-ix86 および linux-s390)
  • IBM Security Access Manager for Mobile アプライアンス 8.0
  • IBM Security Access Manager for Web アプライアンス 7.0
  • IBM Security Access Manager for Web アプライアンス 8.0
OpenSSL Project
  • OpenSSL 1.0.1g まで
オラクル
  • Oracle Virtualization の Oracle Secure Global Desktop 4.63
  • Oracle Virtualization の Oracle Secure Global Desktop 4.71
  • Oracle Virtualization の Oracle Secure Global Desktop 5.0
  • Oracle Virtualization の Oracle Secure Global Desktop 5.1
  • Oracle VM VirtualBox 3.2.24 未満
  • Oracle VM VirtualBox 4.0.26 未満
  • Oracle VM VirtualBox 4.1.34 未満
  • Oracle VM VirtualBox 4.2.26 未満
  • Oracle VM VirtualBox 4.3.14 未満
日立
  • L20/300
  • LTO6ドライブ
  • Lx/30A

本脆弱性の影響を受ける日立製品の詳細については、ベンダ情報 HIRT-PUB14010 他をご確認ください。

本脆弱性の影響を受ける Cisco 製品の詳細については、ベンダ情報 cisco-sa-20140605-openssl をご確認ください。
想定される影響

第三者により、マルチスレッド環境での SSL 接続を介して、セッション間でデータを挿入される、またはサービス運用妨害 (Use-after-free および構文解析エラー) 状態にされる可能性があります。
対策

ベンダ情報および参考情報を参照して適切な対策を実施してください。
ベンダ情報

BlackBerry
  • BlackBerry Knowledge Base : KB36051
FreeBSD Huawei IBM openbsd.org OpenSSL Project VMware オラクル シスコシステムズ ブルーコートシステムズ
  • Security Advisories : SA80
マカフィー
  • McAfee Security Bulletin : SB10075
日立
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 競合状態(CWE-362) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2010-5298
参考情報

  1. National Vulnerability Database (NVD) : CVE-2010-5298
  2. ICS-CERT ADVISORY : ICSA-14-198-03
  3. 関連文書 : Use-after-free race condition,in OpenSSL's read buffer
更新履歴

[2014年04月16日]
  掲載
[2014年06月24日]
  影響を受けるシステム:内容を更新
  ベンダ情報:日立 (HIRT-PUB14010) を追加
[2014年06月26日]
  ベンダ情報:オラクル (CVE-2010-5298 Race Conditions vulnerability in OpenSSL) を追加
[2014年06月30日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:シスコシステムズ (cisco-sa-20140605-openssl) を追加
  ベンダ情報:ブルーコートシステムズ (SA80) を追加
[2014年07月01日]
  ベンダ情報:VMware (2079783) を追加
  ベンダ情報:VMware (VMSA-2014-0006) を追加
[2014年07月22日]
  参考情報:ICS-CERT ADVISORY (ICSA-14-198-03) を追加
[2014年07月25日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:BlackBerry (KB36051) を追加
  ベンダ情報:Huawei (Huawei-SA-20140613-OpenSSL) を追加
  ベンダ情報:IBM (1673137) を追加
  ベンダ情報:IBM (1676035) を追加
  ベンダ情報:IBM (1676062) を追加
  ベンダ情報:IBM (1676419) を追加
  ベンダ情報:IBM (1676655) を追加
  ベンダ情報:IBM (1677695) を追加
  ベンダ情報:IBM (1677828) を追加
  ベンダ情報:IBM (1678167) を追加
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2014) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - July 2014 Risk Matrices) を追加
  ベンダ情報:マカフィー (SB10075) を追加
[2015年01月30日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - January 2015) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices) を追加
  ベンダ情報:オラクル (January 2015 Critical Patch Update Released) を追加
[2015年12月17日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:日立 (OpenSSLの脆弱性(CVE-2014-0224他)によるテープライブラリ装置への影響について)による影響について) を追加