JVNDB-2014-002392
|
OpenSSL の s3_pkt.c 内の do_ssl3_write 関数におけるサービス運用妨害 (DoS) の脆弱性
|
OpenSSL の s3_pkt.c 内の do_ssl3_write 関数は、SSL_MODE_RELEASE_BUFFERS が有効な場合、特定の再帰呼び出し中にバッファのポインタを適切に管理しないため、サービス運用妨害 (NULL ポインタデリファレンスおよびアプリケーションクラッシュ) 状態にされる脆弱性が存在します。
|
CVSS v2 による深刻度 基本値: 4.3 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): なし
- 完全性への影響(I): なし
- 可用性への影響(A): 部分的
|
|
IBM
- IBM API Management 3.0 (IBM PureApplication System および XEN)
- IBM API Management 3.0 (VMWare)
- IBM InfoSphere Master Data Management Patient Hub 10.0
- IBM InfoSphere Master Data Management Provider Hub 10.0
- IBM InfoSphere Master Data Management Standard/Advanced Edition 11.0
- IBM InfoSphere Master Data Management Standard/Advanced Edition 11.3
- IBM Initiate Master Data Service 10.0
- IBM Initiate Master Data Service 10.1
- IBM Initiate Master Data Service 8.5
- IBM Initiate Master Data Service 9.0
- IBM Initiate Master Data Service 9.2
- IBM Initiate Master Data Service 9.5
- IBM Initiate Master Data Service 9.7
- IBM Initiate Master Data Service Patient Hub 9.5
- IBM Initiate Master Data Service Patient Hub 9.7
- IBM Initiate Master Data Service Provider Hub 9.5
- IBM Initiate Master Data Service Provider Hub 9.7
- IBM SDK, Java for Node.js 1.1.0.3 およびそれ以前
- IBM SmartCloud Orchestrator 2.3
- IBM SmartCloud Orchestrator 2.3 FP1
- IBM SmartCloud Provisioning 2.1 for IBM Provided Software Virtual Appliance
- IBM SmartCloud Provisioning 2.3
- IBM SmartCloud Provisioning 2.3 FP1
- IBM Tivoli Management Framework 4.1.1 (linux-ix86 および linux-s390)
- IBM Security Access Manager for Mobile アプライアンス 8.0
- IBM Security Access Manager for Web アプライアンス 7.0
- IBM Security Access Manager for Web アプライアンス 8.0
OpenSSL Project
オラクル
- Oracle Virtualization の Oracle Secure Global Desktop 4.63
- Oracle Virtualization の Oracle Secure Global Desktop 4.71
- Oracle Virtualization の Oracle Secure Global Desktop 5.0
- Oracle Virtualization の Oracle Secure Global Desktop 5.1
- Oracle VM VirtualBox 3.2.24 未満
- Oracle VM VirtualBox 4.0.26 未満
- Oracle VM VirtualBox 4.1.34 未満
- Oracle VM VirtualBox 4.2.26 未満
- Oracle VM VirtualBox 4.3.14 未満
日立
|
本脆弱性の影響を受ける日立製品の詳細については、ベンダ情報 HIRT-PUB14010 他をご確認ください。
本脆弱性の影響を受ける Cisco 製品の詳細については、ベンダ情報 cisco-sa-20140605-openssl をご確認ください。
|
第三者により、アラートの状態を誘発する要素を介して、サービス運用妨害 (NULL ポインタデリファレンスおよびアプリケーションクラッシュ) 状態にされる可能性があります。
|
ベンダ情報および参考情報を参照して適切な対策を実施してください。
|
BlackBerry
- BlackBerry Knowledge Base : KB36051
Huawei
IBM
OpenSSL Project
Puppet
VMware
オラクル
シスコシステムズ
フォーティネット
ブルーコートシステムズ
- Security Advisories : SA80
マカフィー
レッドハット
日立
|
- NULL ポインタデリファレンス(CWE-476) [NVD評価]
|
- CVE-2014-0198
|
- National Vulnerability Database (NVD) : CVE-2014-0198
- ICS-CERT ADVISORY : ICSA-14-198-03
|
- [2014年05月08日]
掲載
[2014年06月24日]
影響を受けるシステム:内容を更新
ベンダ情報:日立 (HIRT-PUB14010) を追加
[2014年06月26日]
ベンダ情報:オラクル (CVE-2014-0198 Buffer Errors vulnerability in OpenSSL) を追加
[2014年06月27日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:シスコシステムズ (cisco-sa-20140605-openssl) を追加
ベンダ情報:ブルーコートシステムズ (SA80) を追加
[2014年07月01日]
ベンダ情報:VMware (2079783) を追加
ベンダ情報:VMware (VMSA-2014-0006) を追加
[2014年07月22日]
参考情報:ICS-CERT ADVISORY (ICSA-14-198-03) を追加
[2014年07月25日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2014) を追加
ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - July 2014 Risk Matrices) を追加
[2014年08月07日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:BlackBerry (KB36051) を追加
ベンダ情報:Huawei (Huawei-SA-20140613-OpenSSL) を追加
ベンダ情報:IBM (1673137) を追加
ベンダ情報:IBM (1676035) を追加
ベンダ情報:IBM (1676062) を追加
ベンダ情報:IBM (1676419) を追加
ベンダ情報:IBM (1676655) を追加
ベンダ情報:IBM (1677695) を追加
ベンダ情報:IBM (1677828) を追加
ベンダ情報:IBM (1678167) を追加
ベンダ情報:OpenSSL Project (SSL_MODE_RELEASE_BUFFERS NULL pointer dereference (CVE-2014-0198)) を追加
ベンダ情報:フォーティネット (Multiple Vulnerabilities in OpenSSL) を追加
ベンダ情報:マカフィー (SB10075) を追加
[2014年08月18日]
ベンダ情報:Puppet Labs (CVE-2014-0198) を追加
[2015年02月02日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - January 2015) を追加
ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices) を追加
ベンダ情報:オラクル (January 2015 Critical Patch Update Released) を追加
[2015年12月17日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:日立 (OpenSSLの脆弱性(CVE-2014-0224他)によるテープライブラリ装置への影響について)による影響について) を追加
|