JVNDB-2014-003811

JVNDB-2014-003811
OpenSSL の DTLS の実装の d1_both.c におけるサービス運用妨害 (DoS) の脆弱性
概要
OpenSSL の DTLS の実装の d1_both.c には、メモリリークにより、サービス運用妨害 (メモリ消費) 状態にされる脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 5.0 (警告) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): なし可用性への影響(A): 部分的
影響を受けるシステム

OpenSSL Project OpenSSL 0.9.8 以上 0.9.8zb 未満 OpenSSL 1.0.0 以上 1.0.0n 未満 OpenSSL 1.0.1 以上 1.0.1i 未満ヒューレット・パッカード HP Virtual Connect 8Gb 24ポートファイバーチャネルモジュール 3.00 未満 (VC (バーチャルコネクト) 4.40 未満)
上記以外の OpenSSL を利用する他の製品も影響を受ける可能性があります。本脆弱性の影響を受ける HP SSL の詳細については、ベンダ情報 HPSBOV03099 SSRT101686 をご確認ください。
想定される影響
第三者により、特定の insert 関数の戻り値の不適切な処理を誘発する zero-length DTLS フラグメントを介して、サービス運用妨害 (メモリ消費) 状態にされる可能性があります。
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
Huawei Security Advisory : Huawei-SA-20141008-OpenSSL IBM IBM Support Document : 1682293 IBM Support Document : 1686997 OpenSSL Project OpenSSL Project : Fix memory leak from zero-length DTLS fragments. OpenSSL Security Advisory : DTLS memory leak from zero-length fragments (CVE-2014-3507) ヒューレット・パッカード HP Security Bulletin : HPSBUX03095 SSRT101674 HP Security Bulletin : HPSBOV03099 SSRT101686 HP Security Bulletin : HPSBHF03293
CWEによる脆弱性タイプ一覧 CWEとは?
リソース管理の問題(CWE-399) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2014-3507
参考情報
National Vulnerability Database (NVD) : CVE-2014-3507
更新履歴
[2014年08月15日] 掲載 [2014年11月14日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：ヒューレット・パッカード (HPSBUX03095 SSRT101674) を追加ベンダ情報：ヒューレット・パッカード (HPSBOV03099 SSRT101686) を追加 [2014年11月28日] ベンダ情報：IBM (1682293) を追加ベンダ情報：IBM (1686997) を追加ベンダ情報：Huawei (Huawei-SA-20141008-OpenSSL) を追加 [2015年06月09日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：ヒューレット・パッカード (HPSBHF03293) を追加


公表日	2014/08/06
登録日	2014/08/15
最終更新日	2015/06/09

OpenSSL の DTLS の実装の d1_both.c におけるサービス運用妨害 (DoS) の脆弱性