JVNDB-2014-002767
|
OpenSSL の s3_clnt.c の ssl3_send_client_key_exchange 関数におけるサービス運用妨害 (DoS) の脆弱性
|
OpenSSL の s3_clnt.c の ssl3_send_client_key_exchange 関数には、ECDH 暗号スイートが使用されている場合、サービス運用妨害 (NULL ポインタデリファレンスおよびクライアントクラッシュ) 状態にされる脆弱性が存在します。
補足情報 : CWE による脆弱性タイプは、CWE-476: NULL Pointer Dereference (NULL ポインタデリファレンス) と識別されています。
http://cwe.mitre.org/data/definitions/476.html
|
CVSS v2 による深刻度 基本値: 4.3 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): なし
- 完全性への影響(I): なし
- 可用性への影響(A): 部分的
|
|
Fedora Project
IBM
- IBM API Management 3.0 (IBM PureApplication System および XEN)
- IBM API Management 3.0 (VMWare)
- IBM Hardware Management Console 7 Release 7.6.0 SP3
- IBM Hardware Management Console 7 Release 7.7.0 SP3
- IBM InfoSphere Master Data Management Patient Hub 10.0
- IBM InfoSphere Master Data Management Provider Hub 10.0
- IBM InfoSphere Master Data Management Standard/Advanced Edition 11.0
- IBM InfoSphere Master Data Management Standard/Advanced Edition 11.3
- IBM Initiate Master Data Service 10.0
- IBM Initiate Master Data Service 10.1
- IBM Initiate Master Data Service 8.5
- IBM Initiate Master Data Service 9.0
- IBM Initiate Master Data Service 9.2
- IBM Initiate Master Data Service 9.5
- IBM Initiate Master Data Service 9.7
- IBM Initiate Master Data Service Patient Hub 9.5
- IBM Initiate Master Data Service Patient Hub 9.7
- IBM Initiate Master Data Service Provider Hub 9.5
- IBM Initiate Master Data Service Provider Hub 9.7
- IBM Mobile Messaging & M2M Client Pack (Linux および Windows プラットフォーム用 Eclipse Paho MQTT C Client ライブラリ) の Support Pac MA9B
- IBM SDK, Java for Node.js 1.1.0.3 およびそれ以前
- IBM SmartCloud Orchestrator 2.3
- IBM SmartCloud Orchestrator 2.3 FP1
- IBM SmartCloud Provisioning 2.1 for IBM Provided Software Virtual Appliance
- IBM SmartCloud Provisioning 2.3
- IBM SmartCloud Provisioning 2.3 FP1
- IBM Tivoli Management Framework 4.1.1 (linux-ix86 および linux-s390)
- IBM WebSphere MQ for HP NonStop Server 5.3.1
- IBM WebSphere MQ 7.1 (Linux および Windows プラットフォーム用 Paho MQTT C クライアントライブラリ)
- IBM WebSphere MQ 7.5 (Linux および Windows プラットフォーム用 Paho MQTT C クライアントライブラリ)
- IBM Workload Scheduler Distributed 8.4.0 FP07 およびそれ以前
- IBM Workload Scheduler Distributed 8.5.0 FP04 およびそれ以前
- IBM Workload Scheduler Distributed 8.5.1 FP05 およびそれ以前
- IBM Workload Scheduler Distributed 8.6.0 FP03 およびそれ以前
- IBM Workload Scheduler Distributed 9.1.0 FP01 およびそれ以前
- IBM Workload Scheduler Distributed 9.2.0 GA Level
- Tivoli Composite Application Manager for Transactions 7.2
- Tivoli Composite Application Manager for Transactions 7.3
- Tivoli Composite Application Manager for Transactions 7.4
- IBM Security Access Manager for Mobile アプライアンス 8.0
- IBM Security Access Manager for Web アプライアンス 7.0
- IBM Security Access Manager for Web アプライアンス 8.0
OpenSSL Project
- OpenSSL 1.0.0 以上 1.0.0m 未満
- OpenSSL 1.0.1 以上 1.0.1h 未満
- OpenSSL 0.9.8 以上 0.9.8za 未満
アップル
- Apple Mac OS X 10.7.5
- Apple Mac OS X 10.8.5
- Apple Mac OS X 10.9 から 10.9.4
- Apple Mac OS X Server 10.7.5
オラクル
- Oracle Virtualization の Oracle Secure Global Desktop 4.63
- Oracle Virtualization の Oracle Secure Global Desktop 4.71
- Oracle Virtualization の Oracle Secure Global Desktop 5.0
- Oracle Virtualization の Oracle Secure Global Desktop 5.1
- Oracle VM VirtualBox 3.2.24 未満
- Oracle VM VirtualBox 4.0.26 未満
- Oracle VM VirtualBox 4.1.34 未満
- Oracle VM VirtualBox 4.2.26 未満
- Oracle VM VirtualBox 4.3.14 未満
レッドハット
- Red Hat Storage 2.1
- Red Hat Enterprise Linux 5
- Red Hat Enterprise Linux 6
日立
富士通
- FUJITSU Integrated System HA Database Ready
- Symfoware Analytics Server
- Symfoware Server
|
本脆弱性の影響を受ける日立製品の詳細については、ベンダ情報 HIRT-PUB14010 他をご確認ください。
本脆弱性の影響を受ける Cisco 製品の詳細については、ベンダ情報 cisco-sa-20140605-openssl をご確認ください。
本脆弱性の影響を受ける富士通製品の詳細については、ベンダ情報 Symfoware Server: OpenSSLの脆弱性(CVE-2014-0224, CVE-2014-0221, CVE-2014-0195, CVE-2014-3470)(2014年7月15日) をご確認ください。
|
第三者により、NULL の証明書の値を誘発されることで、サービス運用妨害 (NULL ポインタデリファレンスおよびクライアントクラッシュ) 状態にされる可能性があります。
|
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
|
BlackBerry
- BlackBerry Knowledge Base : KB36051
Fedora Project
Huawei
IBM
Novell
OpenSSL Project
Splunk
VMware
アップル
オラクル
シスコシステムズ
ターボリナックス
ブルーコートシステムズ
- Security Advisories : SA80
マカフィー
レッドハット
日立
富士通
|
- NULL ポインタデリファレンス(CWE-476) [NVD評価]
|
- CVE-2014-3470
|
- JVN : JVNVU#93868849
- National Vulnerability Database (NVD) : CVE-2014-3470
- ICS-CERT ADVISORY : ICSA-14-198-03
|
- [2014年06月09日]
掲載
[2014年06月24日]
影響を受けるシステム:内容を更新
ベンダ情報:日立 (HIRT-PUB14010) を追加
[2014年06月26日]
ベンダ情報:オラクル (CVE-2014-3470 Denial of Service(DOS) vulnerability in OpenSSL) を追加
[2014年06月30日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:シスコシステムズ (cisco-sa-20140605-openssl) を追加
ベンダ情報:ブルーコートシステムズ (SA80) を追加
[2014年07月01日]
ベンダ情報:VMware (2079783) を追加
ベンダ情報:VMware (VMSA-2014-0006) を追加
[2014年07月16日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:富士通 (Symfoware Server: OpenSSLの脆弱性(CVE-2014-0224, CVE-2014-0221, CVE-2014-0195, CVE-2014-3470)(2014年7月15日)) を追加
[2014年07月25日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2014) を追加
ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - July 2014 Risk Matrices) を追加
ベンダ情報:Splunk (Splunk Enterprise 6.1.2, 6.0.5 and 5.0.9 address two vulnerabilities - July 1, 2014) を追加
参考情報:ICS-CERT ADVISORY (ICSA-14-198-03) を追加
[2014年08月07日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:BlackBerry (KB36051) を追加
ベンダ情報:Huawei (Huawei-SA-20140613-OpenSSL) を追加
ベンダ情報:IBM (6060) を追加
ベンダ情報:IBM (6061) を追加
ベンダ情報:IBM (00001841) を追加
ベンダ情報:IBM (00001843) を追加
ベンダ情報:IBM (1673137) を追加
ベンダ情報:IBM (1676035) を追加
ベンダ情報:IBM (1676062) を追加
ベンダ情報:IBM (1676419) を追加
ベンダ情報:IBM (1676496) を追加
ベンダ情報:IBM (1676655) を追加
ベンダ情報:IBM (1677695) を追加
ベンダ情報:IBM (1677828) を追加
ベンダ情報:IBM (1678167) を追加
ベンダ情報:IBM (1678289) を追加
ベンダ情報:IBM (4037761) を追加
ベンダ情報:IBM (1676128) を追加
ベンダ情報:Novell (7015264) を追加
ベンダ情報:Novell (7015300) を追加
ベンダ情報:マカフィー (SB10075) を追加
[2014年08月18日]
ベンダ情報:シスコシステムズ (34549) を追加
[2014年09月22日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:アップル (HT6443) を追加
参考情報:JVN (JVNVU#93868849) を追加
[2015年02月02日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - January 2015) を追加
ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices) を追加
ベンダ情報:オラクル (January 2015 Critical Patch Update Released) を追加
[2015年04月08日]
ベンダ情報:ターボリナックス (TLSA-2014-6) を追加
[2015年12月17日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:日立 (OpenSSLの脆弱性(CVE-2014-0224他)によるテープライブラリ装置への影響について)による影響について) を追加
|