JVNDB-2014-004409

Mozilla Network Security Services (NSS) に RSA 署名検証不備の脆弱性

Mozilla Network Security Services (NSS) ライブラリには、DigestInfo の処理に問題があり、RSA 署名を適切に検証しない脆弱性が存在します。

Mozilla Network Security Services (NSS) ライブラリが実装する DigestInfo の処理には脆弱性が存在します。 BER エンコードされた DigestInfo のフィールドをパースする際、パディングされたバイトの解析をバイパスされ、PKCS#1 v1.5 形式の RSA 署名の偽造を検知できない可能性があります(CWE-295)。

CWE-295: Improper Certificate Validation
http://cwe.mitre.org/data/definitions/295.html

本脆弱性は、2006年に発表された Bleichenbacher vulnerability の一種です。

Bleichenbacher vulnerability
http://www.imc.org/ietf-openpgp/mail-archive/msg06063.html

Mozilla NSS は 複数の Linux ディストリビューションやパッケージ、および、Google Chrome や Google Chrome OS などで利用されています。また、その他の暗号ライブラリや製品にも同様の脆弱な実装が存在する可能性があります。

Google

• Google Chrome 37.0.2062.124 より前のバージョン
• Google Chrome OS 37.0.2062.120 (Platform version: 5978.98.1/5978.98.2) より前のバージョン

Mozilla Foundation

• Mozilla Firefox 32.0.3 より前のバージョン
• Mozilla Firefox ESR 24.8.1 より前のバージョン
• Mozilla Firefox ESR 31.1.1 より前のバージョン
• Mozilla Network Security Services (NSS) 3.16.2.1 より前のバージョン
• Mozilla Network Security Services (NSS) 3.16.5 より前のバージョン
• Mozilla Network Security Services (NSS) 3.17.1 より前のバージョン
• Mozilla SeaMonkey 2.29.1 より前のバージョン
• Mozilla Thunderbird 31.1.2 より前のバージョン
• Mozilla Thunderbird 24.8.1 より前のバージョン

オラクル

• Oracle Communications Applications の Oracle Communications Messaging Server 7.0.5.33.0 およびそれ以前
• Oracle Fusion Middleware の Oracle Directory Server Enterprise Edition 11.1.1.7
• Oracle Fusion Middleware の Oracle Directory Server Enterprise Edition 7.0
• Oracle Fusion Middleware の Oracle OpenSSO 3.0-05
• Oracle Fusion Middleware の Oracle Traffic Director 11.1.1.7.0
• Oracle GlassFish Server 2.1.1
• Oracle iPlanet Web Proxy Server 4.0
• Oracle iPlanet Web Server 6.1
• Oracle iPlanet Web Server 7.0

その他にも、本脆弱性の影響を受ける製品が存在する可能性があります。

SSL 証明書などの RSA 署名を偽造される可能性があります。

[アップデートする]
開発者が提供する情報(MSFA 2014-73)をもとに、最新版へアップデートしてください。
MSFA 2014-73
http://www.mozilla-japan.org/security/announce/2014/mfsa2014-73.html

Google Chrome や Google Chrome OS など、その他の製品については、各製品開発者が提供する情報をもとに対応してください。

Google

• Google : Stable Channel Update
• Google : Stable Channel Update for Chrome OS

Mozilla Foundation

• Mozilla Bugzilla : bug#1069405
• Mozilla Bugzilla : bug#1064636 
• Mozilla Developer Network : Network Security Services 
• Mozilla Developer Network : NSS Releases
• Mozilla Foundation セキュリティアドバイザリ : Mozilla Foundation セキュリティアドバイザリ 2014-73

オラクル

• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2015
• Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices
• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - April 2015
• Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - April 2015 Risk Matrices
• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - July 2015
• Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - July 2015 Risk Matrices
• SECURITY BLOG : January 2015 Critical Patch Update Released 
• SECURITY BLOG : April 2015 Critical Patch Update Released
• SECURITY BLOG : July 2015 Critical Patch Update Released

ジュニパーネットワークス

• Security Bulletin : JSA10698

レッドハット

• Red Hat Security Advisory : RHSA-2014:1371
• Red Hat Security Advisory : RHSA-2014:1354
• Red Hat Security Advisory : RHSA-2014:1307

1. 暗号の問題(CWE-310) [NVD評価]
2. その他(CWE-Other) [IPA評価]

1. CVE-2014-1568

1. JVN : JVNVU#94190107
2. National Vulnerability Database (NVD) : CVE-2014-1568
3. US-CERT Vulnerability Note : VU#772676
4. 関連文書 : Bleichenbacher's RSA signature forgery based on implementation error
5. 関連文書 : PKCS #1: RSA Encryption Version 1.5

• [2014年09月26日]
    掲載
  [2014年09月29日]
    CWE による脆弱性タイプ一覧：CWE-ID を追加
  [2014年11月26日]
    ベンダ情報：レッドハット (RHSA-2014:1371) を追加
    ベンダ情報：レッドハット (RHSA-2014:1354) を追加
    ベンダ情報：レッドハット (RHSA-2014:1307) を追加
  [2015年01月22日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - January 2015) を追加
    ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices) を追加
    ベンダ情報：オラクル (January 2015 Critical Patch Update Released) を追加
  [2015年04月20日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - April 2015) を追加
    ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - April 2015 Risk Matrices) を追加
    ベンダ情報：オラクル (April 2015 Critical Patch Update Released) を追加
  [2015年07月29日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - July 2015) を追加
    ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - July 2015 Risk Matrices) を追加
    ベンダ情報：オラクル (July 2015 Critical Patch Update Released) を追加
  [2015年12月02日]
    ベンダ情報：ジュニパーネットワークス (JSA10698) を追加