【活用ガイド】

JVNDB-2014-004670

OpenSSL およびその他の製品で使用される SSL プロトコルにおける平文データを取得される脆弱性

概要

OpenSSL およびその他の製品で使用される SSL プロトコルは、非決定的な CBC パディングを使用するため、平文データを取得される脆弱性が存在します。

本脆弱性は、"POODLE" と呼ばれています。
CVSS による深刻度 (CVSS とは?)

基本値: 4.3 (警告) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): なし
  • 可用性への影響(A): なし

[参考] CVSS v3 による深刻度
基本値: 3.1 (注意) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 高
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 低
  • 完全性への影響(I): なし
  • 可用性への影響(A): なし
影響を受けるシステム


OpenSSL Project
  • OpenSSL 1.0.1i まで 
オラクル
  • JDK 5.0 Update 75 およびそれ以前
  • JDK 6 Update 85 およびそれ以前
  • JDK 7 Update 72 およびそれ以前
  • JDK 8 Update 25 およびそれ以前
  • JRE 5.0 Update 75 およびそれ以前
  • JRE 6 Update 85 およびそれ以前
  • JRE 7 Update 72 およびそれ以前
  • JRE 8 Update 25 およびそれ以前
  • Oracle Enterprise Manager Grid Control の Enterprise Manager Ops Center 11.1.3
  • Oracle Enterprise Manager Grid Control の Enterprise Manager Ops Center 12.1.4
  • Oracle Java SE Embedded 7 Update 71 およびそれ以前
  • Oracle Java SE Embedded 8 Update 6 およびそれ以前
  • Oracle JRockit R27.8.4 およびそれ以前
  • Oracle JRockit R28.3.4 およびそれ以前
  • Oracle Solaris Cluster 4.2
  • Oracle Virtualization の Oracle Secure Global Desktop 4.63
  • Oracle Virtualization の Oracle Secure Global Desktop 4.71
  • Oracle Virtualization の Oracle Secure Global Desktop 5.0
  • Oracle Virtualization の Oracle Secure Global Desktop 5.1
  • XCP 1119 未満 (SPARC Enterprise サーバ)
  • XCP 2240 未満 (Fujitsu M10-1、M10-4、M10-4S サーバ)
  • Oracle Solaris 11.2
  • SPARC Enterprise M3000 サーバ
  • SPARC Enterprise M4000 サーバ
  • SPARC Enterprise M5000 サーバ
  • SPARC Enterprise M8000 サーバ
  • SPARC Enterprise M9000 サーバ
サン・マイクロシステムズ
  • JDK 5.0 Update 33 およびそれ以前
  • JDK 6 Update 21 およびそれ以前
  • JRE 5.0 Update 33 およびそれ以前
  • JRE 6 Update 21 およびそれ以前

SSL プロトコル 3.0 を利用する他の製品も本脆弱性の影響を受けます。

TLS 通信において Padding Bytes の検証処理が行われていない実装の場合、本脆弱性の影響を受ける可能性があります。

本脆弱性の影響を受けるオラクル製品の詳細については、ベンダ情報 "Poodle" Vulnerability - CVE-2014-3566 他をご確認ください。

本脆弱性の影響を受ける日本電気製品の詳細については、ベンダ情報 AV14-004 他をご確認ください。

本脆弱性の影響を受ける日立製品の詳細については、ベンダ情報 HS15-003 他をご確認ください。

本脆弱性の影響を受ける富士通製品の詳細については、ベンダ情報 InterstageやSystemwalker関連製品:TLS1.0実装におけるセキュリティ脆弱性の問題 他をご確認ください。
想定される影響

中間者攻撃 (man-in-the-middle attack) により、パディングオラクル攻撃を介して、平文データを取得される可能性があります。
対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報

F5 Networks GNU Project Google Huawei IBM Ipswitch, Inc. Mozilla Foundation Node.js Foundation Novell OpenSSL Project Opera Software ASA Splunk Ubuntu アップル アライドテレシス インターネットイニシアティブ ウェブセンス オラクル シスコシステムズ シトリックス・システムズ ターボリナックス バッファロー ヒューレット・パッカード ブルーコートシステムズ
  • Security Advisories : SA83
マイクロソフト ヤマハ レッドハット 日本電気
  • NEC製品セキュリティ情報 : AV14-004
  • NEC製品セキュリティ情報 : NV15-005
日立 富士通
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 暗号の問題(CWE-310) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2014-3566
参考情報

  1. JVN : JVNVU#98283300
  2. JVN : JVNVU#97537282
  3. JVN : JVNVU#96447236
  4. JVN : JVNTA#98308086
  5. JVN : JVNVU#99970459
  6. National Vulnerability Database (NVD) : CVE-2014-3566
  7. US-CERT Vulnerability Note : VU#577193
  8. US-CERT Technical Cyber Security Alert : TA14-290A
  9. 関連文書 : IETF draft-ietf-tls-downgrade-scsv-00
  10. 関連文書 : 株式会社アラタナ の告知ページ (SSLv3 POODLE 脆弱性への弊社対応状況について)
  11. 関連文書 : TR-28 - The SSL protocol 3.0, as used in OpenSSL through 1.0.1i and other products, are vulnerable to a critical padding oracle attack - CVE-2014-3566
  12. 関連文書 : APPLE-SA-2014-10-16-3 OS X Server v4.0
  13. 関連文書 : APPLE-SA-2014-10-16-1 OS X Yosemite v10.10
  14. 関連文書 : APPLE-SA-2014-10-20-1 iOS 8.1
  15. 関連文書 : APPLE-SA-2014-10-20-2 Apple TV 7.0.1
  16. 関連文書 : MGASA-2014-0416
  17. 関連文書 : AST-2014-011
  18. 関連文書 : ImperialViolet (The POODLE bites again)
更新履歴

[2014年10月16日]
  掲載
[2014年10月17日]
  ベンダ情報:OpenSSL Project ([15 Oct 2014]) を追加
  ベンダ情報:F5 Networks (CVE-2014-3566: Removing SSLv3 from BIG-IP) を追加
  ベンダ情報:レッドハット (Bug 1152789) を追加
  ベンダ情報:レッドハット (POODLE: SSLv3 vulnerability (CVE-2014-3566)) を追加
  ベンダ情報:Ubuntu (CVE-2014-3566) を追加
  ベンダ情報:Ubuntu (How do I patch/workaround SSLv3 POODLE vulnerability (CVE--2014--3566)?) を追加
  ベンダ情報:Mozilla Foundation (The POODLE Attack and the End of SSL 3.0) を追加
  ベンダ情報:Mozilla Foundation (Bug 1076983) を追加
  ベンダ情報:マイクロソフト (3009008 (Vulnerability in SSL 3.0 Could Allow Information Disclosure)) を追加
  ベンダ情報:マイクロソフト (3009008 released) を追加
  参考情報:JVN (JVNVU#98283300) を追加
  参考情報:関連文書 (IETF draft-ietf-tls-downgrade-scsv-00) を追加
[2014年10月21日]
  ベンダ情報:Opera Software ASA (Security changes in Opera 25; the poodle attacks) を追加
  ベンダ情報:アップル (About Security Update 2014-005) を追加
  ベンダ情報:GNU Project (GNUTLS-SA-2014-4) を追加
  ベンダ情報:Mozilla Foundation (SSL 3.0 の POODLE 脆弱性への対応について) を追加
  ベンダ情報:Huawei (Statement on SSL POODLE Security Vulnerability) を追加
  参考情報:US-CERT Vulnerability Note (VU#577193) を追加
  参考情報:US-CERT Technical Cyber Security Alert (TA14-290A) を追加  
  参考情報:関連文書 (株式会社アラタナ の告知ページ (SSLv3 POODLE 脆弱性への弊社対応状況について)) を追加
  参考情報:関連文書 (TR-28 - The SSL protocol 3.0, as used in OpenSSL through 1.0.1i and other products, are vulnerable to a critical padding oracle attack - CVE-2014-3566) を追加
[2014年10月22日]
  ベンダ情報:富士通 (「SSLv3 プロトコルに暗号化データを解読される脆弱性(POODLE攻撃)」への富士通製品の対応について) を追加
[2014年10月30日]
  ベンダ情報:アップル (HT6529) を追加
  ベンダ情報:アップル (HT6527) を追加
  ベンダ情報:アップル (HT6542) を追加
  ベンダ情報:アップル (HT6541) を追加
  ベンダ情報:アップル (HT6536) を追加
  ベンダ情報:アップル (HT6535) を追加
  ベンダ情報:インターネットイニシアティブ (SSLv3 プロトコルに暗号化データを解読される脆弱性(POODLE 攻撃)) を追加
  ベンダ情報:日本電気 (AV14-004) を追加
  参考情報:JVN (JVNVU#97537282) を追加
  参考情報:関連文書 (APPLE-SA-2014-10-16-3 OS X Server v4.0) を追加
  参考情報:関連文書 (APPLE-SA-2014-10-16-1 OS X Yosemite v10.10) を追加
  参考情報:関連文書 (APPLE-SA-2014-10-20-1 iOS 8.1) を追加
  参考情報:関連文書 (APPLE-SA-2014-10-20-2 Apple TV 7.0.1) を追加
[2014年11月07日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Multiple vulnerabilities in OpenSSL) を追加
  ベンダ情報:オラクル ("Poodle" Vulnerability - CVE-2014-3566) を追加
[2014年11月27日]
  ベンダ情報:Joyent (Node v0.10.33 (Stable)) を追加
  ベンダ情報:レッドハット (RHSA-2014:1652) を追加
  ベンダ情報:レッドハット (RHSA-2014:1653) を追加
  ベンダ情報:レッドハット (RHSA-2014:1692) を追加
  ベンダ情報:シトリックス・システムズ (CTX200238) を追加
  ベンダ情報:シスコシステムズ (cisco-sa-20141015-poodle) を追加
  ベンダ情報:IBM (T1021431) を追加
  ベンダ情報:IBM (T1021439) を追加
  ベンダ情報:IBM (1686997) を追加
  ベンダ情報:IBM (1687172) を追加
  ベンダ情報:IBM (1687611) を追加
  ベンダ情報:IBM (AIX OpenSSL Patch to mitigate CVE-2014-3566) を追加
  ベンダ情報:ブルーコートシステムズ (SA83) を追加
  参考情報:関連文書 (MGASA-2014-0416) を追加
[2014年11月28日]
  ベンダ情報:ヤマハ (「SSLv3プロトコルに暗号化データを解読される脆弱性」および「メモリリークによるサービス運用妨害 (DoS) の脆弱性」について) を追加
  ベンダ情報:Google (Docker Security Advisory [30 Oct 2014]) を追加
[2014年12月04日]
  ベンダ情報:アライドテレシス (アライドテレシス株式会社からの情報) を追加
[2014年12月08日]
  ベンダ情報:IBM (1688283) を追加
  ベンダ情報:IBM (1688165) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBGN03209 SSRT101837) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBGN03202 SSRT101842) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBGN03203 SSRT101841) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBGN03201 SSRT101832) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBMU03214 SSRT101817) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBUX03162 SSRT101767) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBMU03152 SSRT101778) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBHF03156 SSRT101777) を追加
  ベンダ情報:レッドハット (RHSA-2014:1876) を追加
  ベンダ情報:レッドハット (RHSA-2014:1877) を追加
  ベンダ情報:レッドハット (RHSA-2014:1880) を追加
  ベンダ情報:レッドハット (RHSA-2014:1881) を追加
  ベンダ情報:レッドハット (RHSA-2014:1882) を追加
  ベンダ情報:レッドハット (RHSA-2014:1920) を追加
  参考情報:関連文書 (AST-2014-011) を追加
[2014年12月15日]
  影響を受けるシステム:内容を更新
  ベンダ情報:バッファロー (SSLv3プロトコルに暗号化データを解読される脆弱性(POODLE攻撃)) を追加
  参考情報:関連文書 (ImperialViolet (The POODLE bites again)) を追加
[2014年12月18日]
  ベンダ情報:レッドハット (RHSA-2014:1948) を追加
[2014年12月25日]
  ベンダ情報:Splunk (Splunk Enterprise versions 6.0.7 and 5.0.11 address three vulnerabilities) を追加
[2015年01月22日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - January 2015) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices) を追加
  ベンダ情報:オラクル (January 2015 Critical Patch Update Released) を追加
[2015年01月26日]
  ベンダ情報:富士通 (Oracle Corporation Javaプラグインの脆弱性に関するお知らせ) を追加
[2015年02月02日]
  ベンダ情報:アップル (HT204244) を追加
  ベンダ情報:アップル (APPLE-SA-2015-01-27-4 OS X 10.10.2 and Security Update 2015-001) を追加
  ベンダ情報:日立 (HS15-003) を追加
  参考情報:JVN (JVNVU#96447236) を追加
[2015年03月02日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Third Party Bulletin - January 2015) を追加
[2015年03月03日]
  ベンダ情報:富士通 (InterstageやSystemwalker関連製品:TLS1.0実装におけるセキュリティ脆弱性の問題) を追加
[2015年03月20日]
  ベンダ情報:ヒューレット・パッカード (HPSBUX03273 SSRT101951) を追加
[2015年03月25日]
  ベンダ情報:IBM (1687845) を追加
  ベンダ情報:IBM (1689055) を追加
  ベンダ情報:ターボリナックス (TLSA-2014-11) を追加
  ベンダ情報:ターボリナックス (TLSA-2015-5) を追加
[2015年03月30日]
  ベンダ情報:IBM (1688683) を追加
  ベンダ情報:IBM (1690640) を追加
[2015年04月17日]
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - April 2015) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - April 2015 Risk Matrices) を追加
  ベンダ情報:オラクル (April 2015 Critical Patch Update Released) を追加
  ベンダ情報:オラクル (Oracle Solaris Third Party Bulletin - April 2015) を追加
[2015年04月22日]
  ベンダ情報:日立 (HS15-014) を追加
[2015年04月30日]
  ベンダ情報:IBM (1687416) を追加
  ベンダ情報:IBM (1687238) を追加
  ベンダ情報:IBM (1687173) を追加
[2015年05月01日]
  ベンダ情報:アップル (HT204201) を追加
  ベンダ情報:アップル (APPLE-SA-2015-04-24-1 OS X Server v4.1) を追加
[2015年05月13日]
  参考情報:JVN (JVNTA#98308086) を追加
[2015年06月09日]
  ベンダ情報:レッドハット (RHSA-2015:0068) を追加
  ベンダ情報:レッドハット (RHSA-2015:0079) を追加
  ベンダ情報:レッドハット (RHSA-2015:0085) を追加
  ベンダ情報:レッドハット (RHSA-2015:0086) を追加
  ベンダ情報:レッドハット (RHSA-2015:0698) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBGN03205 SSRT101854) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBGN03222 SSRT101860) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBGN03208 SSRT101838) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBMU03221 SSRT101849) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBOV03227 SSRT101779) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBGN03233 ) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBGN03237 SSRT101854) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBGN03253 SSRT101897) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBGN03254 SSRT101898) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBGN03252 SSRT101896) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBGN03251 SSRT101899) を追加
[2015年06月22日]
  ベンダ情報:ウェブセンス(Vulnerabilities resolved in TRITON APX Version 8.0)を追加
[2015年07月14日]
  ベンダ情報:日本電気 (NV15-005) を追加
[2015年07月30日]
  ベンダ情報:オラクル (Oracle Solaris Third Party Bulletin - July 2015) を追加
[2015年10月05日]
  ベンダ情報:アップル (APPLE-SA-2015-09-16-2 Xcode 7.0) を追加
  ベンダ情報:アップル (HT205217) を追加
  参考情報:JVN (JVNVU#99970459) を追加
[2015年10月30日]
  ベンダ情報:オラクル (Oracle Solaris Third Party Bulletin - October 2015) を追加
[2015年11月09日]
  ベンダ情報:レッドハット (Red Hat CVE Database (CVE-2014-3566)) を追加
[2015年12月16日]
  ベンダ情報:日立 (SSL 3.0の脆弱性(CVE-2014-3566)による影響について) を追加
[2016年02月17日]
  ベンダ情報:Ipswitch, Inc. (MOVEit DMZ Release Notes Version 8.2) を追加
[2016年05月31日]
  CVSS による深刻度:内容を更新
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update CVSS V2 Risk Matrices - April 2016) を追加
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - April 2016) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - April 2016 Risk Matrices) を追加
  ベンダ情報:オラクル (April 2016 Critical Patch Update Released) を追加