JVNDB-2014-002765
|
OpenSSL の d1_both.c の dtls1_reassemble_fragment 関数における任意のコードを実行される脆弱性
|
|
OpenSSL の d1_both.c の dtls1_reassemble_fragment 関数は、DTLS ClientHello メッセージのフラグメントの長さを適切に検証しないため、任意のコードを実行される、またはサービス運用妨害 (バッファオーバーフローおよびアプリケーションクラッシュ) 状態にされる脆弱性が存在します。
|
|
CVSS v2 による深刻度
基本値: 6.8 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
|
Fedora Project
IBM
- IBM API Management 3.0 (IBM PureApplication System および XEN)
- IBM API Management 3.0 (VMWare)
- IBM InfoSphere Master Data Management Patient Hub 10.0
- IBM InfoSphere Master Data Management Provider Hub 10.0
- IBM InfoSphere Master Data Management Standard/Advanced Edition 11.0
- IBM InfoSphere Master Data Management Standard/Advanced Edition 11.3
- IBM Initiate Master Data Service 10.0
- IBM Initiate Master Data Service 10.1
- IBM Initiate Master Data Service 8.5
- IBM Initiate Master Data Service 9.0
- IBM Initiate Master Data Service 9.2
- IBM Initiate Master Data Service 9.5
- IBM Initiate Master Data Service 9.7
- IBM Initiate Master Data Service Patient Hub 9.5
- IBM Initiate Master Data Service Patient Hub 9.7
- IBM Initiate Master Data Service Provider Hub 9.5
- IBM Initiate Master Data Service Provider Hub 9.7
- IBM SDK, Java for Node.js 1.1.0.3 およびそれ以前
- IBM SmartCloud Orchestrator 2.3
- IBM SmartCloud Orchestrator 2.3 FP1
- IBM SmartCloud Provisioning 2.1 for IBM Provided Software Virtual Appliance
- IBM SmartCloud Provisioning 2.3
- IBM SmartCloud Provisioning 2.3 FP1
- IBM Tivoli Management Framework 4.1.1 (linux-ix86 および linux-s390)
- IBM Workload Scheduler Distributed 8.4.0 FP07 およびそれ以前
- IBM Workload Scheduler Distributed 8.5.0 FP04 およびそれ以前
- IBM Workload Scheduler Distributed 8.5.1 FP05 およびそれ以前
- IBM Workload Scheduler Distributed 8.6.0 FP03 およびそれ以前
- IBM Workload Scheduler Distributed 9.1.0 FP01 およびそれ以前
- IBM Workload Scheduler Distributed 9.2.0 GA Level
- Tivoli Composite Application Manager for Transactions 7.2
- Tivoli Composite Application Manager for Transactions 7.3
- Tivoli Composite Application Manager for Transactions 7.4
OpenSSL Project
- OpenSSL 1.0.0 以上 1.0.0m 未満
- OpenSSL 1.0.1 以上 1.0.1h 未満
- OpenSSL 0.9.8 以上 0.9.8za 未満
アップル
- Apple Mac OS X 10.7.5
- Apple Mac OS X 10.8.5
- Apple Mac OS X 10.9 から 10.9.4
- Apple Mac OS X Server 10.7.5
オラクル
- Oracle Virtualization の Oracle Secure Global Desktop 4.63
- Oracle Virtualization の Oracle Secure Global Desktop 4.71
- Oracle Virtualization の Oracle Secure Global Desktop 5.0
- Oracle Virtualization の Oracle Secure Global Desktop 5.1
- Oracle VM VirtualBox 3.2.24 未満
- Oracle VM VirtualBox 4.0.26 未満
- Oracle VM VirtualBox 4.1.34 未満
- Oracle VM VirtualBox 4.2.26 未満
- Oracle VM VirtualBox 4.3.14 未満
レッドハット
- Red Hat Storage 2.1
- Red Hat Enterprise Linux 6
日立
富士通
- FUJITSU Integrated System HA Database Ready
- Symfoware Analytics Server
- Symfoware Server
|
本脆弱性の影響を受ける日立製品の詳細については、ベンダ情報 HIRT-PUB14010 他をご確認ください。
本脆弱性の影響を受ける Cisco 製品の詳細については、ベンダ情報 cisco-sa-20140605-openssl をご確認ください。
本脆弱性の影響を受ける富士通製品の詳細については、ベンダ情報 Symfoware Server: OpenSSLの脆弱性(CVE-2014-0224, CVE-2014-0221, CVE-2014-0195, CVE-2014-3470)(2014年7月15日) をご確認ください。
その他の製品も本脆弱性の影響を受ける可能性があります。詳細につきましては、ベンダの提供する情報をご確認ください。
|
|
第三者により、過度に長い non-initial フラグメントを介して、任意のコードを実行される、またはサービス運用妨害 (バッファオーバーフローおよびアプリケーションクラッシュ) 状態にされる可能性があります。
|
|
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
|
|
BlackBerry
- BlackBerry Knowledge Base : KB36051
F5 Networks
Fedora Project
Huawei
IBM
OpenSSL Project
VMware
アップル
オラクル
シスコシステムズ
ヒューレット・パッカード
フォーティネット
ブルーコートシステムズ
- Security Advisories : SA80
マカフィー
レッドハット
日立
富士通
|
|
- 古典的バッファオーバーフロー(CWE-120) [NVD評価]
|
|
- CVE-2014-0195
|
|
- JVN : JVNVU#93868849
- National Vulnerability Database (NVD) : CVE-2014-0195
|
|
- [2014年06月09日]
掲載
[2014年06月24日]
影響を受けるシステム:内容を更新
ベンダ情報:日立 (HIRT-PUB14010) を追加
[2014年06月26日]
ベンダ情報:オラクル (CVE-2014-0195 Buffer Errors vulnerability in OpenSSL) を追加
[2014年06月27日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:シスコシステムズ (cisco-sa-20140605-openssl) を追加
ベンダ情報:ブルーコートシステムズ (SA80) を追加
[2014年07月01日]
ベンダ情報:VMware (2079783) を追加
[2014年07月16日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:富士通 (Symfoware Server: OpenSSLの脆弱性(CVE-2014-0224, CVE-2014-0221, CVE-2014-0195, CVE-2014-3470)(2014年7月15日)) を追加
[2014年07月25日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2014) を追加
ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - July 2014 Risk Matrices) を追加
[2014年08月07日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:BlackBerry (KB36051) を追加
ベンダ情報:F5 Networks (SOL15356: OpenSSL vulnerability CVE-2014-0195) を追加
ベンダ情報:Huawei (Huawei-SA-20140613-OpenSSL) を追加
ベンダ情報:IBM (00001841) を追加
ベンダ情報:IBM (00001843) を追加
ベンダ情報:IBM (1673137) を追加
ベンダ情報:IBM (1676035) を追加
ベンダ情報:IBM (1676062) を追加
ベンダ情報:IBM (1676419) を追加
ベンダ情報:IBM (1677695) を追加
ベンダ情報:IBM (1677828) を追加
ベンダ情報:IBM (1678167) を追加
ベンダ情報:IBM (1678289) を追加
ベンダ情報:IBM (1676128) を追加
ベンダ情報:フォーティネット (Multiple Vulnerabilities in OpenSSL) を追加
ベンダ情報:マカフィー (SB10075) を追加
[2014年09月24日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:アップル (HT6443) を追加
参考情報:JVN (JVNVU93868849) を追加
[2015年02月02日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - January 2015) を追加
ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices) を追加
ベンダ情報:オラクル (January 2015 Critical Patch Update Released) を追加
[2015年05月12日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:ヒューレット・パッカード (HPSBHF03293 SSRT101846) を追加
ベンダ情報:VMware (VMSA-2014-0012) を追加
[2015年12月17日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:日立 (OpenSSLの脆弱性(CVE-2014-0224他)によるテープライブラリ装置への影響について)による影響について) を追加
|
