JVNDB-2013-001463

Mozilla Network Security Services の TLS の実装における識別攻撃およびプレーンテキストリカバリ攻撃を誘発される脆弱性

Mozilla Network Security Services (NSS) の TLS の実装は、不正な形式の CBC パディングを処理している間、非準拠の MAC チェック操作へのタイミングサイドチャネル攻撃について適切に配慮しないため、識別攻撃、およびプレーンテキストリカバリ攻撃を誘発される脆弱性が存在します。

本脆弱性は、CVE-2013-0169 と関連する問題です。

Mozilla Foundation

• Mozilla Network Security Services (NSS)

オラクル

• Oracle Enterprise Manager Grid Control の Enterprise Manager Ops Center 11.1
• Oracle Enterprise Manager Grid Control の Enterprise Manager Ops Center 12.1
• Oracle Enterprise Manager Grid Control の Enterprise Manager Ops Center 12.2
• Oracle Fusion Middleware の GlassFish Enterprise Server 2.1.1
• Oracle Fusion Middleware の Oracle Traffic Director 11.1.1.6
• Oracle Fusion Middleware の Oracle Traffic Director 11.1.1.7
• Oracle Fusion Middleware の Oracle iPlanet Web Proxy Server 4.0
• Oracle Fusion Middleware の Oracle iPlanet Web Server 6.1
• Oracle Fusion Middleware の Oracle iPlanet Web Server 7.0
• Oracle Fusion Middleware の Sun Java Application Server 8.1
• Oracle Fusion Middleware の Sun Java Application Server 8.2
• Oracle Fusion Middleware の Oracle OpenSSO 3.0-03
• Oracle Fusion Middleware の GlassFish Communications Server 2.0
• Oracle Fusion Middleware の Oracle Directory Server Enterprise Edition 11.1.1.7
• Oracle Fusion Middleware の Oracle Directory Server Enterprise Edition 7.0

レッドハット

• Red Hat Enterprise Linux (v. 5 server)
• Red Hat Enterprise Linux Desktop (v. 5 client)
• Red Hat Enterprise Linux Desktop (v. 6)
• Red Hat Enterprise Linux EUS (v. 5.9.z server)
• Red Hat Enterprise Linux HPC Node (v. 6)
• Red Hat Enterprise Linux Long Life (v. 5.9 server)
• Red Hat Enterprise Linux Server (v. 6)
• Red Hat Enterprise Linux Server AUS (v. 6.4)
• Red Hat Enterprise Linux Server EUS (v. 6.4.z)
• Red Hat Enterprise Linux Workstation (v. 6)
• RHEL Desktop Workstation (v. 5 client)

第三者により、巧妙に細工されたパケット用のタイミングデータの統計的分析を介して、識別攻撃、およびプレーンテキストリカバリ攻撃を誘発される可能性があります。

ベンダ情報および参考情報を参照して適切な対策を実施してください。

Canonical

• Ubuntu Security Notice : USN-1763-1

Mozilla Foundation

• Mozilla Foundation : Network Security Services (NSS)

Novell

• opensuse-security-announce : openSUSE-SU-2013:0631
• opensuse-security-announce : openSUSE-SU-2013:0630

オラクル

• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2014
• Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2014 Risk Matrices
• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - April 2014
• Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - April 2014 Risk Matrices
• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2015
• Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices
• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - July 2014
• Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - July 2014 Risk Matrices
• SECURITY BLOG : January 2014 Critical Patch Update Released
• SECURITY BLOG : April 2014 Critical Patch Update Released
• SECURITY BLOG : CVE-2013-1620 Lucky Thirteen vulnerability in NSS
• SECURITY BLOG : July 2014 Critical Patch Update Released
• SECURITY BLOG : CVE-2013-1620 Lucky Thirteen vulnerability in NSS
• SECURITY BLOG : Multiple vulnerabilities fixed in NSS 3.16
• SECURITY BLOG : January 2015 Critical Patch Update Released

レッドハット

• Red Hat Security Advisory : RHSA-2013:1135
• Red Hat Security Advisory : RHSA-2013:1144

1. 観測可能な不一致(CWE-203) [NVD評価]

1. CVE-2013-1620

1. National Vulnerability Database (NVD) : CVE-2013-1620
2. 関連文書 : Lucky Thirteen: Breaking the TLS and DTLS Record Protocols

• [2013年02月12日]
    掲載
  [2013年03月29日]
    CVSS による深刻度：基本値と機密性への影響を変更
  [2013年04月23日]
    ベンダ情報：Novell (openSUSE-SU-2013:0630) を追加
    ベンダ情報：Ubuntu (USN-1763-1) を追加
  [2013年06月17日]
    ベンダ情報：Novell (openSUSE-SU-2013:0631) を追加
  [2014年01月22日]
    影響を受けるシステム：オラクル (Oracle Critical Patch Update Advisory - January 2014) の情報を追加
    影響を受けるシステム：レッドハット (RHSA-2013:1135) の情報を追加
    影響を受けるシステム：レッドハット (RHSA-2013:1144) の情報を追加
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - January 2014) を追加
    ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - January 2014 Risk Matrices) を追加
    ベンダ情報：オラクル (January 2014 Critical Patch Update Released) を追加
    ベンダ情報：レッドハット (RHSA-2013:1135) を追加
    ベンダ情報：レッドハット (RHSA-2013:1144) を追加
  [2014年04月18日]
    影響を受けるシステム：内容を更新
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - April 2014) を追加
    ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - April 2014 Risk Matrices) を追加
    ベンダ情報：オラクル (April 2014 Critical Patch Update Released) を追加
  [2014年06月26日]
    ベンダ情報：オラクル (CVE-2013-1620 Lucky Thirteen vulnerability in NSS) を追加
  [2014年07月18日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - July 2014) を追加
    ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - July 2014 Risk Matrices) を追加
    ベンダ情報：オラクル (July 2014 Critical Patch Update Released) を追加
  [2014年08月25日]
    ベンダ情報：オラクル (CVE-2013-1620 Lucky Thirteen vulnerability in NSS) を追加
  [2014年12月02日]
    ベンダ情報：オラクル (Multiple vulnerabilities fixed in NSS 3.16) を追加
  [2015年01月22日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - January 2015) を追加
    ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices) を追加
    ベンダ情報：オラクル (January 2015 Critical Patch Update Released) を追加
  [2015年01月30日]
    影響を受けるシステム：内容を更新