JVNDB-2015-001011

OpenSSL の d1_pkt.c の dtls1_buffer_record 関数におけるサービス運用妨害 (DoS) の脆弱性

OpenSSL の d1_pkt.c の dtls1_buffer_record 関数には、メモリリークにより、サービス運用妨害 (メモリ消費) 状態にされる脆弱性が存在します。

OpenSSL Project

• OpenSSL 1.0.0p 未満の 1.0.0
• OpenSSL 1.0.1k 未満の 1.0.1

オラクル

• MySQL 5.6.22 およびそれ以前
• Oracle Communications Core Session Manager 7.2.5
• Oracle Communications Core Session Manager 7.3.5
• Oracle Fusion Middleware の Oracle Mobile Security Suite MSS 3.0
• Oracle Virtualization の Oracle Secure Global Desktop 4.63
• Oracle Virtualization の Oracle Secure Global Desktop 4.71
• Oracle Virtualization の Oracle Secure Global Desktop 5.1
• Integrated Lights Out Manager (Sun System Firmware) 8.7.2.b 未満
• Integrated Lights Out Manager (Sun System Firmware) 9.4.2e 未満
• Oracle Solaris 11.2

本脆弱性の影響を受けるシスコシステムズ製品の詳細については、ベンダ情報 cisco-sa-20150310-ssl をご確認ください。

第三者により、next eoch に多くの複製されたレコードを送られ、リプレー検出を失敗させられることで、サービス運用妨害 (メモリ消費) 状態にされる可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

OpenSSL Project

• GitHub : A memory leak can occur in dtls1_buffer_record if either of the calls to ssl3_setup_buffers or pqueue_insert fail.
• OpenSSL Security Advisory : DTLS memory leak in dtls1_buffer_record (CVE-2015-0206)

オラクル

• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - April 2015
• Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - April 2015 Risk Matrices
• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - July 2015
• Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - July 2015 Risk Matrices
• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - October 2015
• Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - October 2015 Risk Matrices
• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - July 2016
• Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - July 2016 Risk Matrices
• Oracle Technology Network : Oracle Third Party Bulletin - January 2015
• SECURITY BLOG : April 2015 Critical Patch Update Released
• SECURITY BLOG : July 2015 Critical Patch Update Released
• SECURITY BLOG : October 2015 Critical Patch Update Released
• SECURITY BLOG : July 2016 Critical Patch Update Released

シスコシステムズ

• Cisco Security Advisory : cisco-sa-20150310-ssl
• シスコ セキュリティアドバイザリ : cisco-sa-20150310-ssl

バッファロー

• 製品セキュリティ情報 : 株式会社バッファロー の告知ページ

ヒューレット・パッカード

• HP Security Bulletin : HPSBHF03289

レッドハット

• Red Hat Security Advisory : RHSA-2015:0066

日本電気

• NEC製品セキュリティ情報 : NV15-017

1. バッファエラー(CWE-119) [NVD評価]

1. CVE-2015-0206

1. JVN : JVNVU#98974537
2. National Vulnerability Database (NVD) : CVE-2015-0206

• [2015年01月13日]
    掲載
  [2015年02月27日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：オラクル (Oracle Third Party Bulletin - January 2015) を追加
  [2015年03月20日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：シスコシステムズ (cisco-sa-20150310-ssl) を追加
    ベンダ情報：レッドハット (RHSA-2015:0066) を追加
  [2015年04月08日]
    ベンダ情報：ヒューレット・パッカード (HPSBHF03289) を追加
  [2015年04月20日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - April 2015) を追加
    ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - April 2015 Risk Matrices) を追加
    ベンダ情報：オラクル (April 2015 Critical Patch Update Released) を追加
  [2015年06月26日]
    ベンダ情報：バッファロー (株式会社バッファロー の告知ページ) を追加
  [2015年07月29日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - July 2015) を追加
    ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - July 2015 Risk Matrices) を追加
    ベンダ情報：オラクル (July 2015 Critical Patch Update Released) を追加
  [2015年10月27日]
    ベンダ情報：日本電気 (NV15-017) を追加
  [2015年11月06日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - October 2015) を追加
    ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - October 2015 Risk Matrices) を追加
    ベンダ情報：オラクル (October 2015 Critical Patch Update Released) を追加
  [2016年08月09日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - July 2016) を追加
    ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - July 2016 Risk Matrices) を追加
    ベンダ情報：オラクル (July 2016 Critical Patch Update Released) を追加