JVNDB-2015-003080

OpenSSL の crypto/bn/bn_gf2m.c の BN_GF2m_mod_inv 関数におけるサービス運用妨害 (DoS) の脆弱性

OpenSSL の crypto/bn/bn_gf2m.c の BN_GF2m_mod_inv 関数は、曲線が不正な形式のバイナリ多項式フィールド上のある ECParameters 構造を適切に処理しないため、サービス運用妨害 (無限ループ) 状態にされる脆弱性が存在します。

OpenSSL Project

• OpenSSL 1.0.0e 未満の 1.0.0
• OpenSSL 1.0.1n 未満の 1.0.1
• OpenSSL 1.0.2b 未満の 1.0.2
• OpenSSL 0.9.8s 未満

アップル

• Apple Mac OS X 10.10 から 10.10.4
• Apple Mac OS X 10.8.5
• Apple Mac OS X 10.9.5

オラクル

• Oracle E-Business Suite 11.5.10.2
• Oracle Fusion Middleware の Oracle Exalogic Infrastructure EECS 2.0.6.2.3
• Oracle PeopleSoft Products の PeopleSoft Enterprise PeopleTools 8.53
• Oracle PeopleSoft Products の PeopleSoft Enterprise PeopleTools 8.54
• Oracle Supply Chain Products Suite の Oracle Transportation Management 6.1
• Oracle Supply Chain Products Suite の Oracle Transportation Management 6.2
• Oracle Virtualization の Oracle Secure Global Desktop 4.63
• Oracle Virtualization の Oracle Secure Global Desktop 4.71
• Oracle Virtualization の Oracle Secure Global Desktop 5.2
• Primavera P6 Enterprise Project Portfolio Management 15.1
• Primavera P6 Enterprise Project Portfolio Management 8.3
• Primavera P6 Enterprise Project Portfolio Management 8.4

ヒューレット・パッカード・エンタープライズ

• HPE Insight Control
• HPE Insight Control サーバープロビジョニング
• HPE Matrix Operating Environment
• HPE Server Migration Pack
• HPE Systems Insight Manager
• HPE Version Control Repository Manager
• System Management Homepage

日本電気

• CapsSuite V3.0 から V4.0 のマネージャコンポーネント
• EnterpriseDirectoryServer Ver8.0
• SecureWare/PKIアプリケーション開発キット Ver3.0
• SecureWare/PKIアプリケーション開発キット Ver3.01
• SecureWare/PKIアプリケーション開発キット Ver3.02
• SecureWare/PKIアプリケーション開発キット Ver3.1
• WebOTX Enterprise Edition V4.2 から V6.5
• WebOTX Standard Edition V4.2 から V6.5
• WebOTX Standard-J Edition V4.1 から V6.5
• WebOTX UDDI Registry V1.1 から V7.1
• WebOTX Web Edition V4.1 から V6.5
• WebOTX Application Server Enterprise Edition V7.1
• WebOTX Application Server Enterprise V8.2 から V9.2
• WebOTX Application Server Express V8.2 から V9.2
• WebOTX Application Server Foundation V8.2 から V8.5
• WebOTX Application Server Standard Edition V7.1
• WebOTX Application Server Standard V8.2 から V9.2
• WebOTX Application Server Standard-J Edition V7.1 から V8.1
• WebOTX Application Server Web Edition V7.1 から V8.1
• WebOTX Enterprise Service Bus V6.4 から V9.2
• WebOTX Portal V8.2 から V9.1
• WebOTX SIP Application Server Standard Edition V7.1 から V8.1
• WebSAM Application Navigator Agent Ver3.3 から Ver4.1
• WebSAM Application Navigator Manager Ver3.2.2 から Ver4.1
• WebSAM Application Navigator Probe Option Ver3.1.0.x から Ver4.1.0.x
• WebSAM MCOperations Ver3.6.2 から Ver4.2
• WebSAM SystemManager Ver5.5.2 から Ver6.2.1
• WebSAM JobCenter R14.1
• Express5800 /SG シリーズ InterSecVM/SG v1.2,v3.0,v3.1,v4.0
• Express5800 /SG シリーズ SG3600LM/LG/LJ v6.1,v6.2,v7.0,v7.1,v8.0
• Express5800 /SG シリーズ UNIVERGE SG3000LG/LJ
• iStorage NV7400/NV5400/NV3400シリーズ
• iStorage NV7500/NV5500/NV3500シリーズ
• iStorage HSシリーズ 全バージョン
• IX2000シリーズ
• IX3000シリーズ
• UNIVERGE 3C CMM
• UNIVERGE 3C UCM

本脆弱性の影響を受ける製品の詳細については、ベンダ情報をご確認ください。

第三者により、楕円曲線 (Elliptic Curve) アルゴリズムを使用するセッションを介して、運用妨害 (無限ループ) 状態にされる可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

OpenSSL Project

• GitHub : bn/bn_gf2m.c: avoid infinite loop wich malformed ECParamters.
• OpenSSL : OpenSSL vulnerabilities
• OpenSSL Project : Tarballs
• OpenSSL Security Advisory : [11 Jun 2015] DHE man-in-the-middle protection (Logjam)

アップル

• Apple Mailing Lists : APPLE-SA-2015-08-13-2 OS X Yosemite v10.10.5 and Security Update 2015-006
• Apple Security Updates : HT205031
• Apple セキュリティアップデート : HT205031

アライドテレシス

• JVN : アライドテレシス株式会社からの情報

オラクル

• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - October 2015
• Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - October 2015 Risk Matrices
• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2016
• Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices
• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - July 2016
• Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - July 2016 Risk Matrices
• Oracle Technology Network : Oracle Solaris Third Party Bulletin - July 2015
• SECURITY BLOG : October 2015 Critical Patch Update Released
• SECURITY BLOG : January 2016 Critical Patch Update Released
• SECURITY BLOG : July 2016 Critical Patch Update Released

シスコシステムズ

• Cisco Security Advisory : cisco-sa-20150612-openssl
• シスコ セキュリティアドバイザリ : cisco-sa-20150612-openssl

ジュニパーネットワークス

• Security Bulletin : JSA10694

ヒューレット・パッカード

• HP Security Bulletin : HPSBUX03388

ヒューレット・パッカード・エンタープライズ

• HPE Security Bulletin : HPSBMU03546
• HPE Security Bulletin : HPSBMU03611
• HPE Security Bulletin : HPSBMU03612
• HPE Security Bulletin : HPSBHF03613

日本電気

• NEC製品セキュリティ情報 : NV15-010

1. リソース管理の問題(CWE-399) [NVD評価]

1. CVE-2015-1788

1. JVN : JVNVU#91445763
2. National Vulnerability Database (NVD) : CVE-2015-1788

• [2015年06月16日]
    掲載
  [2015年06月22日]
  　影響を受けるシステム：内容を更新
  　ベンダ情報：OpenSSL Project (OpenSSL vulnerabilities) を追加
  [2015年06月23日]
  　ベンダ情報：シスコシステムズ (cisco-sa-20150612-openssl) を追加
  [2015年07月31日]
    ベンダ情報：オラクル (Oracle Solaris Third Party Bulletin - July 2015) を追加
  [2015年08月31日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：アップル (APPLE-SA-2015-08-13-2 OS X Yosemite v10.10.5 and Security Update 2015-006) を追加
    ベンダ情報：アップル (HT205031) を追加
  [2015年09月03日]
    ベンダ情報：ヒューレット・パッカード (HPSBUX03388) を追加
  [2015年10月28日]
    ベンダ情報：日本電気 (NV15-010) を追加
  [2015年10月30日]
    ベンダ情報：ジュニパーネットワークス (JSA10694) を追加
  [2015年11月06日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - October 2015) を追加
    ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - October 2015 Risk Matrices) を追加
    ベンダ情報：オラクル (October 2015 Critical Patch Update Released) を追加
  [2015年12月10日]
    影響を受けるシステム：ベンダ情報の更新に伴い内容を更新
  [2016年01月27日]
    影響を受けるシステム：ベンダ情報の更新に伴い内容を更新
  [2016年01月29日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - January 2016) を追加
    ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices) を追加
    ベンダ情報：オラクル (January 2016 Critical Patch Update Released) を追加
  [2016年02月01日]
    影響を受けるシステム：ベンダ情報の更新に伴い内容を更新
  [2016年03月07日]
    影響を受けるシステム：ベンダ情報の更新に伴い内容を更新
  [2016年06月23日]
    影響を受けるシステム：ベンダ情報の更新に伴い内容を更新
  [2016年07月27日]
    影響を受けるシステム：ベンダ情報の更新に伴い内容を更新
  [2016年08月22日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - July 2016) を追加
    ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - July 2016 Risk Matrices) を追加
    ベンダ情報：オラクル (July 2016 Critical Patch Update Released) を追加
  [2016年08月24日]
    影響を受けるシステム：ベンダ情報の更新に伴い内容を更新
  [2016年09月30日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：ヒューレット・パッカード・エンタープライズ (HPSBMU03546) を追加
    ベンダ情報：ヒューレット・パッカード・エンタープライズ (HPSBMU03612) を追加
    ベンダ情報：ヒューレット・パッカード・エンタープライズ (HPSBMU03611) を追加
    ベンダ情報：ヒューレット・パッカード・エンタープライズ (HPSBHF03613) を追加
  [2016年10月07日]
    影響を受けるシステム：ベンダ情報の更新に伴い内容を更新
    ベンダ情報：アライドテレシス (アライドテレシス株式会社からの情報) を追加
  [2017年03月09日]
    影響を受けるシステム：ベンダ情報の更新に伴い内容を更新