JVNDB-2012-001801

JVNDB-2012-001801
OpenSSL の crypto/asn1/asn_mime.c にある mime_param_cmp 関数におけるサービス運用妨害 (DoS) の脆弱性
概要
OpenSSL の crypto/asn1/asn_mime.c にある mime_param_cmp 関数には、サービス運用妨害 (NULL ポインタデリファレンスおよびアプリケーションクラッシュ) 状態となる脆弱性が存在します。本脆弱性は、CVE-2006-7250 とは異なる脆弱性です。
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 5.0 (警告) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): なし可用性への影響(A): 部分的
影響を受けるシステム

OpenSSL Project OpenSSL 0.9.8u 未満 OpenSSL 1.0.0h 未満の 1.x

想定される影響
第三者により、巧妙に細工された S/MIME メッセージを介して、サービス運用妨害 (NULL ポインタデリファレンスおよびアプリケーションクラッシュ) 状態にされる可能性があります。
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
Canonical Ubuntu Security Notice : USN-1424-1 Debian Debian セキュリティ勧告 : DSA-2454 Fedora Project Fedora Update Notification : FEDORA-2012-4665 Fedora Update Notification : FEDORA-2012-4630 OpenSSL Project OpenSSL : 22252 オラクル SECURITY BLOG : CVE-2012-1165 Denial of Service (DoS) vulnerability in OpenSSL ヒューレット・パッカード HP Security Bulletin : HPSBMU02786 SSRT100877 HP Security Bulletin : HPSBOV02793 SSRT100891 レッドハット Red Hat Security Advisory : RHSA-2012:1306 Red Hat Security Advisory : RHSA-2012:1307 Red Hat Security Advisory : RHSA-2012:1308
CWEによる脆弱性タイプ一覧 CWEとは?
リソース管理の問題(CWE-399) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2012-1165
参考情報
National Vulnerability Database (NVD) : CVE-2012-1165
更新履歴
[2012年03月19日] 掲載 [2012年05月14日] ベンダ情報：オラクル (CVE-2012-1165 Denial of Service (DoS) vulnerability in OpenSSL) を追加 [2012年07月25日] ベンダ情報：ヒューレット・パッカード (HPSBOV02793 SSRT100891) を追加ベンダ情報：ヒューレット・パッカード (HPSBMU02786 SSRT100877) を追加 [2012年09月05日] ベンダ情報：Ubuntu (USN-1424-1) を追加ベンダ情報：Debian (DSA-2454) を追加ベンダ情報：Fedora Project (FEDORA-2012-4665) を追加 [2012年11月08日] ベンダ情報：レッドハット (RHSA-2012:1306) を追加ベンダ情報：レッドハット (RHSA-2012:1307) を追加ベンダ情報：レッドハット (RHSA-2012:1308) を追加 [2012年11月13日] ベンダ情報：Fedora Project (FEDORA-2012-4630) を追加


公表日	2012/03/15
登録日	2012/03/19
最終更新日	2012/11/13

OpenSSL の crypto/asn1/asn_mime.c にある mime_param_cmp 関数におけるサービス運用妨害 (DoS) の脆弱性