JVNDB-2014-003810

OpenSSL の DTLS の実装の d1_both.c におけるサービス運用妨害 (DoS) の脆弱性

OpenSSL の DTLS の実装の d1_both.c には、サービス運用妨害 (メモリ消費) 状態にされる脆弱性が存在します。

OpenSSL Project

• OpenSSL 0.9.8 以上 0.9.8zb 未満
• OpenSSL 1.0.0 以上 1.0.0n 未満
• OpenSSL 1.0.1 以上 1.0.1i 未満

ヒューレット・パッカード

• HP Virtual Connect 8Gb 24ポート ファイバーチャネル モジュール 3.00 未満 (VC (バーチャルコネクト) 4.40 未満)

上記以外の OpenSSL を利用する他の製品も影響を受ける可能性があります。
本脆弱性の影響を受ける HP SSL の詳細については、ベンダ情報 HPSBOV03099 SSRT101686 をご確認ください。

第三者により、過度に大きな length 値に合致するメモリ割り当てを誘発する巧妙に細工された DTLS ハンドシェイクメッセージを介して、サービス運用妨害 (メモリ消費) 状態にされる可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Huawei

• Security Advisory : Huawei-SA-20141008-OpenSSL

IBM

• IBM Support Document : 1682293
• IBM Support Document : 1686997

OpenSSL Project

• OpenSSL Project : Fix DTLS handshake message size checks.
• OpenSSL Security Advisory : DTLS memory exhaustion (CVE-2014-3506)

オラクル

• Oracle : ELSA-2014-1053

ターボリナックス

• Turbolinux Security Advisory : TLSA-2014-6

ヒューレット・パッカード

• HP Security Bulletin : HPSBUX03095 SSRT101674
• HP Security Bulletin : HPSBOV03099 SSRT101686
• HP Security Bulletin : HPSBHF03293

レッドハット

• Red Hat Security Advisory : RHSA-2014:1297
• Red Hat Security Advisory : RHSA-2014:1256

1. リソース管理の問題(CWE-399) [NVD評価]

1. CVE-2014-3506

1. National Vulnerability Database (NVD) : CVE-2014-3506

• [2014年08月15日]
    掲載
  [2014年09月17日]
    ベンダ情報：オラクル (ELSA-2014-1053) を追加 
  [2014年11月14日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：ヒューレット・パッカード (HPSBUX03095 SSRT101674) を追加
    ベンダ情報：ヒューレット・パッカード (HPSBOV03099 SSRT101686) を追加
    ベンダ情報：レッドハット (RHSA-2014:1297) を追加
    ベンダ情報：レッドハット (RHSA-2014:1256) を追加
  [2014年11月28日]
    ベンダ情報：IBM (1682293) を追加
    ベンダ情報：IBM (1686997) を追加
    ベンダ情報：Huawei (Huawei-SA-20141008-OpenSSL) を追加
  [2015年04月08日]
    ベンダ情報：ターボリナックス (TLSA-2014-6) を追加
  [2015年06月09日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：ヒューレット・パッカード (HPSBHF03293) を追加