【活用ガイド】

JVNDB-2015-003487

OpenSSL に証明書チェーンの検証不備の脆弱性

概要

OpenSSL には、証明書チェーンの検証不備の脆弱性が存在します。

2015年7月9日、OpenSSL Project より OpenSSL Security Advisory [9 Jul 2015] が公開されました。

OpenSSL Security Advisory [9 Jul 2015]
https://www.openssl.org/news/secadv_20150709.txt

アドバイザリによると、次に挙げる脆弱性が修正され、修正版の OpenSSL 1.0.2d、1.0.1p がリリースされています。

深刻度−高 (Severity: High)
・ Alternative chains certificate forgery (CVE-2015-1793)
OpenSSL は、証明書の検証において最初の証明書チェーンの構築に失敗した場合、代替の証明書チェーンの構築を試みますが、この処理の実装には不備があります。その結果、例えば CA フラグが FALSE とされている証明書を使って発行された証明書を、不正なものであると検知せず、信頼している CA によって発行された証明書として扱ってしまう可能性があります。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 6.5 (警告) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 低
  • 完全性への影響(I): 低
  • 可用性への影響(A): なし
CVSS v2 による深刻度
基本値: 6.4 (警告) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): なし
影響を受けるシステム


OpenSSL Project
  • OpenSSL 1.0.1n
  • OpenSSL 1.0.1o
  • OpenSSL 1.0.2b
  • OpenSSL 1.0.2c
オラクル
  • JD Edwards EnterpriseOne Tools 9.1
  • JD Edwards EnterpriseOne Tools 9.2
  • MySQL 5.6.25 およびそれ以前
  • MySQL Enterprise Monitor 2.3.20 およびそれ以前
  • MySQL Enterprise Monitor 3.0.22 およびそれ以前
  • Oracle Enterprise Manager Grid Control の OSS Support Tools 8.8.15.7.15 未満
  • Oracle Enterprise Manager Ops Center 12.1.4 未満
  • Oracle Enterprise Manager Ops Center 12.2.0
  • Oracle Enterprise Manager Ops Center 12.2.1
  • Oracle Enterprise Manager Ops Center 12.3.0
  • Oracle Enterprise Manager Base Platform 11.1.0.1
  • Oracle Enterprise Manager Base Platform 11.2.0.4
  • Oracle Enterprise Manager Base Platform 12.1.0.4
  • Oracle Enterprise Manager Base Platform 12.1.0.5
  • Oracle Fusion Middleware の Oracle Endeca Server 7.3.0.0
  • Oracle Fusion Middleware の Oracle Endeca Server 7.4.0.0
  • Oracle Fusion Middleware の Oracle Endeca Server 7.5.0.0
  • Oracle Fusion Middleware の Oracle Endeca Server 7.6.0.0
  • Oracle Fusion Middleware の Oracle Business Intelligence Enterprise Edition 11.1.1.7.0
  • Oracle Fusion Middleware の Oracle Business Intelligence Enterprise Edition 11.1.1.9.0
  • Oracle Fusion Middleware の Oracle Tuxedo 12.1.1.0
  • Oracle JD Edwards Products の JD Edwards World Security A9.4
  • Oracle PeopleSoft Products の PeopleSoft Enterprise PeopleTools 8.53
  • Oracle PeopleSoft Products の PeopleSoft Enterprise PeopleTools 8.54
  • Oracle Supply Chain Products Suite の Oracle Agile Engineering Data Management 6.1.2.2
  • Oracle Supply Chain Products Suite の Oracle Agile Engineering Data Management 6.1.3.0
  • Oracle Supply Chain Products Suite の Oracle Agile Engineering Data Management 6.2.0.0
  • Oracle Supply Chain Products Suite の Oracle Transportation Management 6.1
  • Oracle Supply Chain Products Suite の Oracle Transportation Management 6.2
  • Integrated Lights Out Manager 3.0
  • Integrated Lights Out Manager 3.1
  • Integrated Lights Out Manager 3.2
  • Oracle Ethernet Switch ES2-64 2.0.0.6 未満
  • Oracle Ethernet Switch ES2-72 2.0.0.6 未満
  • Oracle Switch ES1-24 1.3.1.13 未満
  • Sun Blade 6000 Ethernet Switched NEM 24P 10GE 1.2.2.13 未満
  • Sun Network 10GE Switch 72P 1.2.2.15 未満
日本電気
  • CapsSuite V3.0 から V4.0 のマネージャコンポーネント
  • EnterpriseDirectoryServer Ver8.0
  • SecureWare/PKIアプリケーション開発キット Ver3.0
  • SecureWare/PKIアプリケーション開発キット Ver3.01
  • SecureWare/PKIアプリケーション開発キット Ver3.02
  • SecureWare/PKIアプリケーション開発キット Ver3.1
  • WebOTX Enterprise Edition V4.2 から V6.5
  • WebOTX Standard Edition V4.2 から V6.5
  • WebOTX Standard-J Edition V4.1 から V6.5
  • WebOTX UDDI Registry V1.1 から V7.1
  • WebOTX Web Edition V4.1 から V6.5
  • WebOTX Application Server Enterprise Edition V7.1
  • WebOTX Application Server Enterprise V8.2 から V9.2
  • WebOTX Application Server Express V8.2 から V9.2
  • WebOTX Application Server Foundation V8.2 から V8.5
  • WebOTX Application Server Standard Edition V7.1
  • WebOTX Application Server Standard V8.2 から V9.2
  • WebOTX Application Server Standard-J Edition V7.1 から V8.1
  • WebOTX Application Server Web Edition V7.1 から V8.1
  • WebOTX Enterprise Service Bus V6.4 から V9.2
  • WebOTX Portal V8.2 から V9.1
  • WebOTX SIP Application Server Standard Edition V7.1 から V8.1
  • WebSAM Application Navigator Ver3.1.0.x から Ver4.1.0.x
  • Express5800 /SG シリーズ InterSecVM/SG v1.2,v3.0,v3.1,v4.0
  • Express5800 /SG シリーズ SG3600LM/LG/LJ v6.1,v6.2,v7.0,v7.1,v8.0
  • Express5800 /SG シリーズ UNIVERGE SG3000LG/LJ
  • iStorage HSシリーズ 全バージョン
  • iStorage NV7400/NV5400/NV3400シリーズ
  • iStorage NV7500/NV5500/NV3500シリーズ
  • IX2000シリーズ
  • IX3000シリーズ

本脆弱性の影響を受ける製品の詳細については、ベンダ情報をご確認ください。
想定される影響

中間者攻撃 (man-in-the-middle attack) により、HTTPS 通信の内容を閲覧されたり改ざんされたりする可能性があります。
対策

[アップデートする]
本脆弱性を修正した次のバージョンの OpenSSL が提供されています。開発者が提供する情報をもとに、最新版へアップデートしてください。
・ OpenSSL 1.0.2d
・ OpenSSL 1.0.1p

最新版
https://www.openssl.org/source/

[JPCERT/CC からの捕捉情報]
OpenSSL Security Advisory 末尾の注記 (Note) にもある通り、OpenSSL バージョン 1.0.0 と 0.9.8 のサポートは 2015年12月31日で終了します。これらのバージョンのユーザは、アップデートをご検討ください。

As per our previous announcements and our Release Strategy (https://www.openssl.org/about/releasestrat.html), support for OpenSSL versions 1.0.0 and 0.9.8 will cease on 31st December 2015. No security updates for these releases will be provided after that date. Users of these releases are advised to upgrade.
ベンダ情報

OpenSSL Project オラクル シスコシステムズ ジュニパーネットワークス ヒューレット・パッカード ヒューレット・パッカード・エンタープライズ 日本電気
  • NEC製品セキュリティ情報 : NV15-010
CWEによる脆弱性タイプ一覧  CWEとは?

  1. その他(CWE-Other) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2015-1793
参考情報

  1. JVN : JVNVU#99160787
  2. National Vulnerability Database (NVD) : CVE-2015-1793
  3. 関連文書 : Cryptanalysis - breaking news:Bypassing certificate checks in OpenSSL 1.0.2c (CVE-2015-1793)
更新履歴

  • [2015年07月13日]
      掲載
    [2015年07月30日]
      ベンダ情報:オラクル (Oracle Solaris Third Party Bulletin - July 2015) を追加
      ベンダ情報:シスコシステムズ (cisco-sa-20150710-openssl) を追加
    [2015年09月03日]
      ベンダ情報:ヒューレット・パッカード (HPSBUX03388) を追加
    [2015年10月22日]
      ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - October 2015) を追加
      ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - October 2015 Risk Matrices) を追加
      ベンダ情報:オラクル (October 2015 Critical Patch Update Released) を追加
    [2015年10月28日]
      ベンダ情報:日本電気 (NV15-010) を追加
    [2015年10月30日]
      ベンダ情報:ジュニパーネットワークス (JSA10694) を追加
    [2015年11月06日]
      影響を受けるシステム:内容を更新
    [2016年01月28日]
      影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
      ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices) を追加
      ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - January 2016) を追加
      ベンダ情報:オラクル (January 2016 Critical Patch Update Released) を追加
    [2016年03月04日]
      影響を受けるシステム:内容を更新
    [2016年05月31日]
      CVSS による深刻度:内容を更新
      影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
      ベンダ情報:オラクル (Oracle Critical Patch Update CVSS V2 Risk Matrices - April 2016) を追加
      ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - April 2016) を追加
      ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - April 2016 Risk Matrices) を追加
      ベンダ情報:オラクル (April 2016 Critical Patch Update Released) を追加
    [2016年06月23日]
      影響を受けるシステム:ベンダ情報の更新に伴い内容を更新
    [2016年07月27日]
      影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
      ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2016) を追加
      ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - July 2016 Risk Matrices) を追加
      ベンダ情報:オラクル (July 2016 Critical Patch Update Released) を追加
    [2016年08月03日]
      影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
    [2016年09月08日]
      ベンダ情報:ヒューレット・パッカード (HPSBGN03424) を追加
      ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBHF03613) を追加
      ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBMU03546) を追加
    [2016年11月22日]
      影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
      ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - October 2016) を追加
      ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - October 2016 Risk Matrices) を追加
      ベンダ情報:オラクル (October 2016 Critical Patch Update Released) を追加