|
[English]
|
JVNDB-2016-000129
|
Android OS が CRIME 攻撃による影響を受けてしまう問題
|
|
Android OS での TLS プロトコルの実装には、平文の HTTP ヘッダを取得されてしまう脆弱性が存在します。
TLS プロトコルでは、サーバおよびクライアントにて通信する際にデータを圧縮する機能があります。この機能がサーバとクライアントで有効になっている場合、暗号化された元データの長さを適切に保護していない状態で圧縮したデータを暗号化をしてしまうため、平文の HTTP ヘッダを取得されてしまう脆弱性が存在します。Android OS の TLS プロトコル実装は、本脆弱性の影響を受けます。
なお、この脆弱性を悪用し、平文の HTTP ヘッダを取得する攻撃は、通称 CRIME 攻撃と呼ばれています。
|
|
|
CVSS v3 による深刻度
基本値: 3.7 (注意) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 高
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 低
- 完全性への影響(I): なし
- 可用性への影響(A): なし
CVSS v2 による深刻度
基本値: 2.6 (注意) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 高
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): なし
- 可用性への影響(A): なし
|
|
|
Google
- Android OS 4.1.2 およびそれ以前のバージョン
|
|
|
中間者攻撃 (man-in-the-middle attack) が可能な第三者が CRIME 攻撃を行うことにより、平文の HTTP ヘッダを取得される可能性があります。
|
|
[アップデートする]
開発者や販売元が提供する情報をもとにアップデートを適用してください。
|
|
Google
KDDI
ソフトバンク株式会社
ディズニー・モバイル・オン・ソフトバンク
ワイモバイル株式会社
|
|
- 暗号の問題(CWE-310) [IPA評価]
|
|
- CVE-2012-4929
|
|
- JVN : JVN#65273415
|
|
|
