JVNDB-2014-007219
|
Mozilla Network Security Services におけるデータスマグリング攻撃を実行される脆弱性
|
|
Mozilla Network Security Services (NSS) の lib/util/quickder.c の definite_length_decoder 関数は、ASN.1 の長さの DER エンコーディングが適切に形成されているかを確認しないため、データスマグリング攻撃を実行される脆弱性が存在します。
補足情報 : CWE による脆弱性タイプは、CWE-444: Inconsistent Interpretation of HTTP Requests (HTTP リクエストスマグリング) と識別されています。
http://cwe.mitre.org/data/definitions/444.html
|
|
CVSS v2 による深刻度
基本値: 7.5 (危険) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
|
Mozilla Foundation
- Mozilla Network Security Services (NSS) 3.16.2.4 未満
- Mozilla Network Security Services (NSS) 3.17.3 未満の 3.17.x
オラクル
- Oracle Communications Applications の Oracle Communications Messaging Server 7.0
- Oracle Fusion Middleware の Oracle Traffic Director 11.1.1.7.0
- Oracle Fusion Middleware の Oracle Traffic Director 11.1.1.9.0
- Oracle GlassFish Server 2.1.1
- Oracle iPlanet Web Proxy Server 4.0
- Oracle iPlanet Web Server 6.1
- Oracle iPlanet Web Server 7.0
|
|
|
第三者により、エンコーディングに対して過度に長いバイトのシーケンスを使用されることで、データスマグリング攻撃を実行される可能性があります。
|
|
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
|
|
Mozilla Foundation
オラクル
|
|
- その他(CWE-Other) [NVD評価]
|
|
- CVE-2014-1569
|
|
- National Vulnerability Database (NVD) : CVE-2014-1569
- 関連文書 : BERserk Vulnerability
|
|
- [2014年12月17日]
掲載
[2015年07月29日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2015) を追加
ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - July 2015 Risk Matrices) を追加
ベンダ情報:オラクル (July 2015 Critical Patch Update Released) を追加
[2015年10月22日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - October 2015) を追加
ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - October 2015 Risk Matrices) を追加
ベンダ情報:オラクル (October 2015 Critical Patch Update Released) を追加
|
