【活用ガイド】

JVNDB-2011-002305

SSL と TLS の CBC モードに選択平文攻撃の脆弱性

概要

SSL プロトコルと TLS プロトコルには、CBC モードで選択平文攻撃を受ける脆弱性が存在します。

SSL プロトコルと TLS プロトコルが CBC モードで動作する際、初期化ベクトル (IV) の決定方法に問題があり、選択平文攻撃を受ける脆弱性が存在します。
なお、本脆弱性を使用した攻撃方法が公開されています。
CVSS による深刻度 (CVSS とは?)

基本値: 4.3 (警告) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): なし
  • 可用性への影響(A): なし

影響を受けるシステム

SSL プロトコル バージョン 3.0
TLS プロトコル バージョン 1.0

TLS 1.1 および TLS 1.2 は、本脆弱性の影響を受けないとのことです。
SSL および TLS を使用する複数のベンダ製品が影響を受ける可能性があります。

Google
  • Google Chrome
Mozilla Foundation
  • Mozilla Firefox
Opera Software ASA
  • Opera
VMware
  • VMware ESX 3.5
  • VMware ESX 4.0
  • VMware ESX 4.1
  • VMware vCenter 4.0 (Windows)
  • VMware vCenter 4.1 (Windows)
  • VMware vCenter 5.0 (Windows)
  • VMware VirtualCenter 2.5 (Windows)
アップル
  • Apple TV 4.0 から 4.3
  • Xcode 4.4 未満 (OS X v10.7.4 およびそれ以降)
  • Apple Mac OS X v10.6.8 (Apache)
  • Apple Mac OS X v10.7 から v10.7.2 (Apache)
  • Apple Mac OS X v10.7 から v10.7.3 (curl)
  • Apple Mac OS X v10.7 から v10.7.4 (Ruby)
  • Apple Mac OS X v10.7.2 (Java)
  • Apple Mac OS X v10.8.5 (Secure Transport)
  • Apple Mac OS X v10.9 未満 (CFNetwork SSL および python)
  • Apple Mac OS X Server v10.6.8 (Apache)
  • Apple Mac OS X Server v10.7 から v10.7.2 (Apache)
  • Apple Mac OS X Server v10.7 から v10.7.3 (curl)
  • Apple Mac OS X Server v10.7 から v10.7.4 (Ruby)
  • Apple Mac OS X Server v10.7.2 (Java)
  • iOS 3.0 から 4.3.5 (iPhone 3GS および iPhone 4)
  • iOS 3.1 から 4.3.5 (iPod touch 第 3 世代以降)
  • iOS 3.2 から 4.3.5 (iPad)
オラクル
  • Java System Web Server 6.1
  • Oracle Database 11.1.0.7
  • Oracle Database 11.2.0.2
  • Oracle Database 11.2.0.3
  • Oracle Fusion Middleware 12.1.3
  • Oracle HTTP Server 12.1.2.0
  • Oracle Hyperion Essbase 11.1.2.2
  • Oracle Hyperion Essbase 11.1.2.3
  • Oracle iPlanet Web Proxy Server 4.0
  • Oracle iPlanet Web Server 7.0
シーメンス
  • RUGGEDCOM WIN5100 ソフトウェア v4.4 未満のすべてのバージョン
  • RUGGEDCOM WIN5200 ソフトウェア v4.4 未満のすべてのバージョン
  • RUGGEDCOM WIN7000 ソフトウェア v4.4 未満のすべてのバージョン
  • RUGGEDCOM WIN7200 ソフトウェア v4.4 未満のすべてのバージョン
ヒューレット・パッカード
  • HP System Management Homepage
マイクロソフト
  • Microsoft Internet Explorer
  • Microsoft Windows 7 for 32-bit Systems SP1 以前
  • Microsoft Windows 7 for x64-based Systems SP1 以前
  • Microsoft Windows Server 2003 SP2
  • Microsoft Windows Server 2003 for Itanium-based Systems SP2
  • Microsoft Windows Server 2003 x64 Edition SP2
  • Microsoft Windows Server 2008 for 32-bit Systems SP2
  • Microsoft Windows Server 2008 for Itanium-based Systems SP2
  • Microsoft Windows Server 2008 for x64-based Systems SP2
  • Microsoft Windows Server 2008 R2 for Itanium-based Systems SP2
  • Microsoft Windows Server 2008 R2 for x64-based Systems SP2
  • Microsoft Windows Vista SP2
  • Microsoft Windows Vista x64 Edition SP2
  • Microsoft Windows XP SP3
  • Microsoft Windows XP Professional x64 Edition SP2
日本電気
  • InfoCage PCセキュリティ 全バージョン
  • SecureWare/PKIアプリケーション開発キット V2.1
  • WebSAM AssetSuite Ver3.0 以降
  • WebSAM AssetSuite Ver3.2 以降
  • WebSAM SECUREMASTER EnterpriseAccessManager Version 3.x から 6.x
  • WebSAM SECUREMASTER AccessControlPlugIn Version 3.x から 6.x
  • WebSAM SECUREMASTER AccessControlServer Version 3.x から 6.x
  • WebSAM SECUREMASTER EnterpriseDirectoryServer/RDB連携システム 全バージョン
日立
  • Cosminexus Application Server Enterprise Version 6
  • Cosminexus Application Server Standard Version 6
  • Cosminexus Application Server Version 5
  • Cosminexus Client Version 6
  • Cosminexus Developer Light Version 6
  • Cosminexus Developer Professional Version 6
  • Cosminexus Developer Version 5
  • Cosminexus Developer Standard Version 6
  • Cosminexus Developer's Kit for Java(TM)
  • Cosminexus HTTP Server
  • Cosminexus Primary Server Base
  • Cosminexus Primary Server Base Version 6
  • Cosminexus Primary Server Version 6
  • Cosminexus Server Standard Edition Version 4
  • Cosminexus Server Web Edition Version 4
  • Cosminexus Studio Version 5
  • Cosminexus Studio Standard Edition Version 4
  • HiRDB for Java(TM)/XML
  • Hitachi Developer's Kit for Java(TM)
  • Hitachi Device Manager Software
  • Hitachi Tuning Manager Software
  • Hitachi Web Server
  • Hitachi Web Server - Security Enhancement
  • Processing Kit for XML
  • uCosminexus Application Server Enterprise
  • uCosminexus Application Server Express
  • uCosminexus Application Server Light
  • uCosminexus Application Server Smart Edition
  • uCosminexus Application Server Standard
  • uCosminexus Application Server Standard-R
  • uCosminexus Application Server
  • uCosminexus Application Server -R
  • uCosminexus Application Server (64)
  • uCosminexus Client
  • uCosminexus Client for Plug-in
  • uCosminexus Developer 01
  • uCosminexus Developer Light
  • uCosminexus Developer Professional
  • uCosminexus Developer Standard
  • uCosminexus Developer Professional for Plug-in
  • uCosminexus Developer
  • uCosminexus Operator
  • uCosminexus Operator for Service Platform
  • uCosminexus Portal Framework エントリセット
  • uCosminexus Primary Server Base
  • uCosminexus Primary Server Base(64)
  • uCosminexus Service Architect
  • uCosminexus Service Platform
  • uCosminexus Service Platform - Messaging
  • uCosminexus Service Platform (64)

本脆弱性の影響を受ける日立製品の詳細については、ベンダ情報 HS11-024HS13-018HS14-010HS14-011 他をご確認ください。
その他の製品についても各ベンダが提供する情報をご確認ください。
想定される影響

暗号化した通信が中間者攻撃 (man-in-the-middle attack) によって傍受された場合、その内容を復号される可能性があります。
対策

2011年9月28日現在、対策方法はありません。

[ワークアラウンドを実施する]
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

 ・TLS 1.1 や TLS 1.2 を有効にする
 ・RC4 アルゴリズムを優先して使用する

なお、これらのワークアラウンドを有効にするには、サーバとクライアントの双方で対応する必要があります。
ベンダ情報

Google IBM Mozilla Foundation Novell OpenSSL Project Opera Software ASA VMware アップル オラクル ヒューレット・パッカード マイクロソフト レッドハット 日本電気
  • NEC製品セキュリティ情報 : NV12-005
日立
  • Hitachi Software Vulnerability Information : HS11-024
  • Hitachi Software Vulnerability Information : HS13-018
  • Hitachi Software Vulnerability Information : HS14-011
  • Hitachi Software Vulnerability Information : HS14-010
  • Hitachi Software Vulnerability Information : HS15-031
  • ソフトウェア製品セキュリティ情報 : HS11-024
  • ソフトウェア製品セキュリティ情報 : HS13-018
  • ソフトウェア製品セキュリティ情報 : HS14-011
  • ソフトウェア製品セキュリティ情報 : HS14-010
  • ソフトウェア製品セキュリティ情報 : HS15-031
富士通
  • 富士通 セキュリティ情報 : TA12-010A
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 不適切な入力確認(CWE-20) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2011-3389
参考情報

  1. JVN : JVNVU#864643
  2. JVN : JVNVU#700214
  3. JVN : JVNVU#692779
  4. JVN : JVNVU#381963
  5. JVN : JVNVU#95174988
  6. JVN : JVNTA12-010A
  7. JVN : JVNVU#95868425
  8. National Vulnerability Database (NVD) : CVE-2011-3389
  9. US-CERT Vulnerability Note : SSL 3.0 and TLS 1.0 allow chosen plaintext attack in CBC modes
  10. US-CERT Technical Cyber Security Alert : TA12-010A
  11. ICS-CERT ADVISORY : ICSA-14-098-03
更新履歴

[2011年10月04日]
  掲載
[2011年11月17日]
  ベンダ情報:アップル (HT5045) を追加
[2011年11月18日]
  ベンダ情報:日立 (HS11-024) を追加
[2011年12月08日]
  影響を受けるシステム:マイクロソフト (2588513) の情報を追加
  影響を受けるシステム:Mozilla Foundation (TLS 暗号化通信に対する攻撃の Firefox への影響) の情報を追加
  影響を受けるシステム:Google (chrome-stable-release) の情報を追加
  影響を受けるシステム:Opera Software ASA (the-beast-ssl-tls-issue) の情報を追加
  ベンダ情報:Google (chrome-stable-release) を追加
  ベンダ情報:Opera Software ASA (the-beast-ssl-tls-issue) を追加
[2011年12月12日]
  ベンダ情報:Opera Software ASA (windows/1151) を追加
  ベンダ情報:Opera Software ASA (unix/1151) を追加
  ベンダ情報:Opera Software ASA (mac/1151) を追加
[2011年12月13日]
  ベンダ情報:Opera Software ASA (the-beast-ssl-tls-issue) を削除
  ベンダ情報:Opera Software ASA (windows/1151) を削除
  ベンダ情報:Opera Software ASA (unix/1151) を削除
  ベンダ情報:Opera Software ASA (mac/1151) を削除
  ベンダ情報:Opera Software ASA (windows/1160) を追加
  ベンダ情報:Opera Software ASA (unix/1160) を追加
  ベンダ情報:Opera Software ASA (mac/1160) を追加
[2011年12月26日]
  ベンダ情報:Mozilla Foundation (attack-against-tls-protected-communications) を追加
  ベンダ情報:マイクロソフト  (2588513) を追加
  ベンダ情報:アップル  (HT4999) を追加
  ベンダ情報:アップル  (HT5001) を追加
  ベンダ情報:IBM (Security alerts) を追加
  ベンダ情報:オラクル (javacpuoct2011-443431) を追加
  ベンダ情報:レッドハット (RHSA-2011:1384) を追加
  ベンダ情報:Novell (Bug 719047) を追加
[2012年01月12日]
  影響を受けるシステム:マイクロソフト (MS12-006) の情報を更新
  ベンダ情報:マイクロソフト (MS12-006) を追加
[2012年01月13日]
  影響を受けるシステム:オラクル (cve_2011_3389_chosen_plaintext) の情報を追加
  ベンダ情報:オラクル (cve_2011_3389_chosen_plaintext) を追加
  ベンダ情報:富士通 (TA12-010A) を追加
[2012年01月23日]
  影響を受けるシステム:オラクル (cve_2011_3389_chosen_plaintext1) の情報を追加
  ベンダ情報:オラクル (cve_2011_3389_chosen_plaintext1) を追加
[2012年02月01日]
  影響を受けるシステム:日立 (HS11-024) の情報を追加
[2012年03月01日]
  影響を受けるシステム:オラクル (CVE-2011-3389 Vulnerability in NSS library affects Oracle iPlanet Web Proxy Server) の情報を追加
  ベンダ情報:オラクル (CVE-2011-3389 Vulnerability in NSS library affects Oracle iPlanet Web Proxy Server) を追加
[2012年03月28日]
  影響を受けるシステム:日本電気 (NV12-005) の情報を追加
  ベンダ情報:日本電気 (NV12-005) を追加
[2012年04月18日]
  影響を受けるシステム:日本電気 (NV12-005) の情報を更新
[2012年05月14日]
  ベンダ情報:アップル (HT5281) を追加
[2012年08月01日]
  影響を受けるシステム:アップル (HT5416) の情報を追加
  ベンダ情報:アップル (HT5416) を追加
  ベンダ情報:アップル (APPLE-SA-2012-07-25-2 Xcode 4.4) を追加
[2012年08月09日]
  ベンダ情報:オラクル (Multiple vulnerabilities in Python) を追加
[2012年10月05日]
  影響を受けるシステム:アップル (HT5501) の情報を追加
  ベンダ情報:アップル (HT5501) を追加
[2012年10月23日]
  ベンダ情報:オラクル (Multiple vulnerabilities in fetchmail) を追加
[2012年12月17日]
  影響を受けるシステム:VMware (VMSA-2012-0003.1) の情報を追加
  ベンダ情報:VMware (VMSA-2012-0003.1) を追加
[2013年09月05日]
  影響を受けるシステム:日立 (HS13-018) の情報を追加
  ベンダ情報:日立 (HS13-018) を追加
[2013年10月09日]
  影響を受けるシステム:日本電気 (NV12-005) の情報を追加
  ベンダ情報:日本電気 (NV12-005) の情報を更新
[2013年10月23日]
  影響を受けるシステム:オラクル (Oracle Critical Patch Update Advisory - October 2013) の情報を追加 
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - October 2013) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - October 2013 Risk Matrices) を追加
  ベンダ情報:オラクル (October 2013 Critical Patch Update Released) を追加
[2013年11月07日]
  影響を受けるシステム:アップルの情報を更新
  ベンダ情報:アップル (HT6011) を追加
  ベンダ情報:アップル (APPLE-SA-2013-10-22-3) を追加
  ベンダ情報:アップル (APPLE-SA-2012-09-19-2) を追加
  ベンダ情報:アップル (APPLE-SA-2012-05-09-1) を追加
  ベンダ情報:アップル (APPLE-SA-2012-02-01-1) を追加
  ベンダ情報:アップル (APPLE-SA-2011-10-12-2) を追加
  ベンダ情報:アップル (APPLE-SA-2011-10-12-1) を追加
  参考情報:JVN (JVNVU#95174988) を追加
[2013年12月05日]
  影響を受けるシステム:ヒューレット・パッカード (HPSBMU02900 および HPSBMU02742 SSRT100740) の情報を追加
  ベンダ情報:アップル (HT5130) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBMU02900) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBMU02742 SSRT100740) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBUX02730 SSRT100710) を追加
  ベンダ情報:レッドハット (Bug 737506) を追加
  ベンダ情報:レッドハット (RHSA-2012:0006) を追加
  ベンダ情報:レッドハット (RHSA-2013:1455) を追加
  ベンダ情報:Novell (SUSE-SU-2012:0122) を追加
  ベンダ情報:Novell (SUSE-SU-2012:0114) を追加
  ベンダ情報:Novell (openSUSE-SU-2012:0030) を追加
  ベンダ情報:Novell (openSUSE-SU-2012:0063) を追加
  参考情報:JVN (JVNTA12-010A) を追加
  参考情報:US-CERT Technical Cyber Security Alert (TA12-010A) を追加
[2014年02月28日]
  影響を受けるシステム:アップル (HT6150) の公開に伴い内容を更新
  ベンダ情報:アップル (APPLE-SA-2014-02-25-1) を追加
  ベンダ情報:アップル (HT6150) を追加
  参考情報:JVN (JVNVU#95868425) を追加
[2014年04月10日]
  影響を受けるシステム:内容を更新
  参考情報:ICS-CERT ADVISORY (ICSA-14-098-03) を追加
[2014年05月08日]
  影響を受けるシステム:日立 (HS14-011) の情報を追加
  ベンダ情報:日立 (HS14-011) を追加
  ベンダ情報:日立 (HS14-010) を追加
[2015年01月22日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - January 2015) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices) を追加
  ベンダ情報:オラクル (January 2015 Critical Patch Update Released) を追加
[2015年03月18日]
  影響を受けるシステム:内容を更新
[2015年04月22日]
  影響を受けるシステム:内容を更新
[2015年07月29日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2015) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - July 2015 Risk Matrices) を追加
  ベンダ情報:オラクル (July 2015 Critical Patch Update Released) を追加
[2015年12月11日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:日立 (HS15-031) を追加
[2016年01月27日]
  影響を受けるシステム:ベンダ情報の更新に伴い内容を更新