【活用ガイド】

JVNDB-2013-001460

TLS プロトコルおよび DTLS プロトコルにおける識別攻撃およびプレーンテキストリカバリ攻撃を誘発される脆弱性

概要

OpenSSL、OpenJDK、PolarSSL およびその他の製品で使用される TLS プロトコルおよび DTLS プロトコルは、不正な形式の CBC パディングを処理している間、MAC チェック要求に関するタイミングサイドチャネル攻撃について適切に配慮しないため、識別攻撃およびプレーンテキストリカバリ攻撃を誘発される脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)

基本値: 2.6 (注意) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 高
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): なし
  • 可用性への影響(A): なし

影響を受けるシステム


ARM Ltd. (旧 Offspark)
  • PolarSSL 1.1.4 およびそれ以前
OpenSSL Project
  • OpenSSL 0.9.8y 未満
  • OpenSSL 1.0.0k 未満の 1.0.0
  • OpenSSL 1.0.1d 未満の 1.0.1
アップル
  • Apple Mac OS X v10.6.8 (Java および OpenSSL)
  • Apple Mac OS X v10.7 およびそれ以降 (Java)
  • Apple Mac OS X v10.8 およびそれ以降 (Java)
  • Apple Mac OS X v10.7.5 (OpenSSL)
  • Apple Mac OS X v10.8 から v10.8.4 (OpenSSL)
  • Apple Mac OS X Server v10.6.8 (Java および OpenSSL)
  • Apple Mac OS X Server v10.7 およびそれ以降 (Java)
  • Apple Mac OS X Server v10.7.5 (OpenSSL)
オラクル
  • JDK 5.0 Update 39 およびそれ以前
  • JDK 6 Update 39 およびそれ以前
  • JDK 7 Update 13 およびそれ以前
  • JRE 1.4.2_41 およびそれ以前
  • JRE 5.0 Update 39 およびそれ以前
  • JRE 6 Update 39 およびそれ以前
  • JRE 7 Update 13 およびそれ以前
  • OpenJDK 1.6.0
  • OpenJDK 1.7.0
  • OpenJDK 1.8.0
  • Oracle Database 11.1.0.7
  • Oracle Database 11.2.0.2
  • Oracle Database 11.2.0.3
  • Oracle Database 12.1.0.1
  • Oracle Fusion Middleware 11.1.1.6
  • Oracle Fusion Middleware 11.1.1.7
  • Oracle Fusion Middleware の Oracle Forms and Reports 11.1.2.1
  • Oracle HTTP Server 12.1.2
  • SDK 1.4.2_41 およびそれ以前
サン・マイクロシステムズ
  • JDK 5.0 Update 33 およびそれ以前
  • JDK 6 Update 21 およびそれ以前
  • JRE 1.4.2_37 およびそれ以前
  • JRE 5.0 Update 33 およびそれ以前
  • JRE 6 Update 21 およびそれ以前
  • SDK 1.4.2_37 およびそれ以前
日本電気
  • CSVIEW /FAQナビ すべてのバージョン
  • CSVIEW /Webアンケート すべてのバージョン
  • EnterpriseDirectoryServer Ver6.0
  • EnterpriseDirectoryServer Ver6.1
  • EnterpriseDirectoryServer Ver7.0
  • EnterpriseDirectoryServer Ver7.1
  • EnterpriseIdentityManager
  • InfoCage PCセキュリティ Ver1.6未満
  • SecureWare/PKIアプリケーション開発キット V3.02
  • WebOTX Application Server Enterprise V8.5
  • WebOTX Application Server Express V8.5
  • WebOTX Application Server Foundation V8.5
  • WebOTX Application Server Standard V8.5
  • WebOTX Enterprise Service Bus  V8.5
  • WebOTX Portal V8.4
  • WebSAM AssetSuite v3以降
  • WebSAM MCOperations Ver4.0.2以前
  • WebSAM SystemManager Ver6.0.2以前
  • iStorage NV7400/NV5400/NV3400シリーズ
  • iStorage NV7500/NV5500/NV3500シリーズ
日立
  • Cosminexus Application Server Enterprise Version 6
  • Cosminexus Application Server Standard Version 6
  • Cosminexus Application Server Version 5
  • Cosminexus Client Version 6
  • Cosminexus Developer Light Version 6
  • Cosminexus Developer Professional Version 6
  • Cosminexus Developer Standard Version 6
  • Cosminexus Developer Version 5
  • Cosminexus Developer's Kit for Java(TM)
  • Cosminexus HTTP Server
  • Cosminexus Primary Server Base
  • Cosminexus Primary Server Version 6
  • Cosminexus Server - Standard Edition Version 4
  • Cosminexus Server - Web Edition Version 4
  • Cosminexus Studio - Standard Edition Version 4
  • Cosminexus Studio - Web Edition Version 4
  • Cosminexus Studio Version 5
  • Hitachi Web Server
  • Hitachi Web Server - Security Enhancement
  • uCosminexus Application Server Express
  • uCosminexus Application Server Light
  • uCosminexus Application Server Standard-R
  • uCosminexus Application Server
  • uCosminexus Application Server (64)
  • uCosminexus Application Server -R
  • uCosminexus Application Server Enterprise
  • uCosminexus Application Server Smart Edition
  • uCosminexus Application Server Standard
  • uCosminexus Client
  • uCosminexus Client for Plug-in
  • uCosminexus Developer 01
  • uCosminexus Developer Professional
  • uCosminexus Developer Professional for Plug-in
  • uCosminexus Developer
  • uCosminexus Developer Light
  • uCosminexus Developer Standard
  • uCosminexus Operator
  • uCosminexus Operator for Service Platform
  • uCosminexus Primary Server Base
  • uCosminexus Primary Server Base(64)
  • uCosminexus Server Standard-R
  • uCosminexus Service Architect
  • uCosminexus Service Platform
  • uCosminexus Service Platform - Messaging
  • uCosminexus Service Platform (64)

OpenSSL、OpenJDK、PolarSSL などの製品で使用される TLS プロトコル 1.1 および 1.2、DTLS プロトコル 1.0 および 1.2 が、本脆弱性の影響を受けます。

本脆弱性の影響を受ける日立製品の詳細については、ベンダ情報 HS13-004HS13-008HS13-018 をご確認ください。

本脆弱性の影響を受ける日本電気製品の詳細については、ベンダ情報 NV14-002 をご確認ください。
想定される影響

第三者により、巧妙に細工されたパケットのタイミングデータの統計的分析を介して、識別攻撃、およびプレーンテキストリカバリ攻撃を誘発される可能性があります。
対策

ベンダ情報および参考情報を参照して適切な対策を実施してください。
ベンダ情報

ARM Ltd. (旧 Offspark) Canonical Debian
  • Debian セキュリティ勧告 : DSA-2622
  • Debian セキュリティ勧告 : DSA-2621
Fedora Project IBM Novell OpenSSL Project Splunk アップル オラクル ターボリナックス ヒューレット・パッカード レッドハット 日本電気
  • NEC製品セキュリティ情報 : NV14-002
日立
  • Hitachi Software Vulnerability Information : HS13-004
  • Hitachi Software Vulnerability Information : HS13-008
  • Hitachi Software Vulnerability Information : HS13-018
  • ソフトウェア製品セキュリティ情報 : HS13-004
  • ソフトウェア製品セキュリティ情報 : HS13-008
  • ソフトウェア製品セキュリティ情報 : HS13-018
富士通
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 暗号の問題(CWE-310) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2013-0169
参考情報

  1. JVN : JVNTA13-051A
  2. JVN : JVNVU#91284469
  3. National Vulnerability Database (NVD) : CVE-2013-0169
  4. IPA 重要なセキュリティ情報 : Oracle Java の脆弱性対策について(CVE-2013-1487等)
  5. JPCERT 注意喚起 : JPCERT-AT-2013-0011
  6. US-CERT Vulnerability Note : VU#737740
  7. US-CERT Technical Cyber Security Alert : TA13-051A
  8. 関連文書 : Lucky Thirteen: Breaking the TLS and DTLS Record Protocols
  9. 関連文書 : Open Source Embedded SSL
  10. 関連文書 : MatrixSSL 3.4.2 Releases
  11. 関連文書 : MGASA-2013-0084
更新履歴

[2013年02月12日]
  掲載
[2013年02月22日]
  影響を受けるシステム:オラクル (Updated Release of the February 2013 Oracle Java SE Critical Patch Update) の情報を追加
  ベンダ情報:オラクル (Updated Release of the February 2013 Oracle Java SE Critical Patch Update) を追加
  ベンダ情報:オラクル (Text Form of the Updated Release for the February 2013 Oracle Java SE Critical Patch Update - Risk Matrices) を追加
  ベンダ情報:オラクル (Updated February 2013 Critical Patch Update for Java SE Released) を追加
  ベンダ情報:富士通 (Oracle Corporation Javaプラグインの脆弱性に関するお知らせ) を追加
[2013年02月28日]
  影響を受けるシステム:日立 (HS13-004) の情報を追加
  ベンダ情報:日立 (HS13-004) を追加
[2013年03月04日]
  影響を受けるシステム:アップル (HT5666) の情報を追加
  ベンダ情報:アップル (HT5666) を追加
[2013年04月08日]
  ベンダ情報:Debian (DSA-2621) を追加
  ベンダ情報:Debian (DSA-2622) を追加
  ベンダ情報:Ubuntu (USN-1735-1) を追加
  ベンダ情報:レッドハット (RHSA-2013:0587) を追加
  ベンダ情報:Novell (openSUSE-SU-2013:0375) を追加
  ベンダ情報:Novell (SUSE-SU-2013:0328) を追加
  ベンダ情報:Novell (openSUSE-SU-2013:0378) を追加
[2013年04月24日]
  影響を受けるシステム:日立 (HS13-008) の情報を追加
  ベンダ情報:日立 (HS13-008) を追加
[2013年05月27日]
  ベンダ情報:オラクル (Lucky Thirteen vulnerability in Solaris OpenSSL) を追加
[2013年06月12日]
  ベンダ情報:ヒューレット・パッカード (HPSBMU02874 SSRT101184) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBUX02857 SSRT101103) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBUX02856 SSRT101104) を追加
  ベンダ情報:レッドハット (RHSA-2013:0783) を追加
  ベンダ情報:レッドハット (RHSA-2013:0782) を追加
[2013年09月05日]
  影響を受けるシステム:日立 (HS13-018) の情報を追加
  ベンダ情報:日立 (HS13-018) を追加
[2013年09月30日]
  影響を受けるシステム:アップル (HT5880) の情報を追加
  ベンダ情報:アップル (HT5880) を追加
  ベンダ情報:アップル (APPLE-SA-2013-09-12-1) を追加
[2013年10月23日]
  影響を受けるシステム:オラクル (Oracle Critical Patch Update Advisory - October 2013) の情報を追加
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - October 2013) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - October 2013 Risk Matrices) を追加
  ベンダ情報:オラクル (October 2013 Critical Patch Update Released) を追加
[2013年10月29日]
  ベンダ情報:IBM (1644047) を追加
  参考情報:US-CERT Vulnerability Note (VU#737740) を追加
[2013年11月12日]
  ベンダ情報:レッドハット (RHSA-2013:0833) を追加
  ベンダ情報:レッドハット (RHSA-2013:1455) を追加
  ベンダ情報:レッドハット (RHSA-2013:1456) を追加
[2013年12月27日]
  ベンダ情報:Fedora Project (FEDORA-2013-4403) を追加
[2014年02月18日]
  影響を受けるシステム:日本電気 (NV14-002) の情報を追加
  ベンダ情報:日本電気 (NV14-002) を追加
[2014年02月26日]
  ベンダ情報:Splunk (Splunk 5.0.3 addresses multiple vulnerabilities - May 28, 2013) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBUX02909 SSRT101289) を追加
  ベンダ情報:レッドハット (Bug 907589) を追加
  ベンダ情報:レッドハット (RHSA-2013:0275) を追加
  ベンダ情報:レッドハット (RHSA-2013:1013) を追加
  参考情報:関連文書 (MatrixSSL 3.4.2 Releases) を追加
  参考情報:関連文書 (MGASA-2013-0084) を追加
[2014年05月08日]
  影響を受けるシステム:内容を更新
[2014年06月03日]
  影響を受けるシステム:内容を更新
[2014年06月26日]
  ベンダ情報:ターボリナックス (TLSA-2014-1) を追加
[2015年03月18日]
  影響を受けるシステム:内容を更新
[2015年07月29日]
  影響を受けるシステム:内容を更新
[2015年10月27日]
  影響を受けるシステム:ベンダ情報の更新に伴い内容を更新
[2016年02月01日]
  影響を受けるシステム:ベンダ情報の更新に伴い内容を更新
[2016年08月02日]
  影響を受けるシステム:ベンダ情報の更新に伴い内容を更新