JVNDB-2010-002548

OpenSSL における暗号スイートのダウングレードに関する脆弱性

OpenSSL は、SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG が有効な際、セッションキャッシュ内にある暗号スイートへの変更を適切に制限しないため、意図しない暗号スイートのダウングレードを強制的に実行される脆弱性が存在します。

OpenSSL Project

• OpenSSL 0.9.8q 未満
• OpenSSL 1.0.0c 未満

VMware

• VMware ESX 3.0.3
• VMware ESX 3.5
• VMware ESX 4.0
• VMware ESX 4.1

アップル

• Apple Mac OS X v10.6 から v10.6.7
• Apple Mac OS X Server v10.6 から v10.6.7

オラクル

• Oracle Solaris 10 

サイバートラスト株式会社

• Asianux Server 3 (x86) 
• Asianux Server 3 (x86-64) 
• Asianux Server 3.0 
• Asianux Server 3.0 (x86-64) 

ヒューレット・パッカード

• HP-UX 11.11 
• HP-UX 11.23 
• HP-UX 11.31 

ブルーコートシステムズ

• Blue Coat CacheFlow 2.1.4.7 未満
• Blue Coat PolicyCenter
• Blue Coat Reporter
• Blue Coat Director
• Blue Coat PacketShaper
• Blue Coat ProxyAV
• ProxyOne
• ProxySG 6.1.2.1 未満

レッドハット

• Red Hat Enterprise Linux 5 (server) 
• Red Hat Enterprise Linux 4 (as) 
• Red Hat Enterprise Linux 4.8 (as) 
• Red Hat Enterprise Linux 4 (es) 
• Red Hat Enterprise Linux 4.8 (es) 
• Red Hat Enterprise Linux 4 (ws) 
• Red Hat Enterprise Linux Desktop 4.0 
• Red Hat Enterprise Linux Desktop 6 
• Red Hat Enterprise Linux Desktop 5.0 (client) 
• Red Hat Enterprise Linux HPC Node 6 
• Red Hat Enterprise Linux Server 6 
• Red Hat Enterprise Linux Workstation 6 
• RHEL Desktop Workstation 5 (client) 

第三者により、意図しない暗号スイートへのダウングレードを強制的に実行される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

OpenSSL Project

• OpenSSL : 20131
• OpenSSL Security Advisory : secadv_20101202

VMware

• VMware Security Advisories : VMSA-2011-0013

アップル

• Apple Security Updates : HT4723

オラクル

• SECURITY BLOG : cve_2010_4180_affects_openssl
• SECURITY BLOG : Multiple OpenSSL vulnerabilities in Sun SPARC Enterprise M-series XCP Firmware

サイバートラスト株式会社

• Asianux Technical Support Network : openssl-0.9.8e-12.AXS3.7
• MIRACLE LINUX アップデート情報 : 2168

ターボリナックス

• Turbolinux Security Advisory : TLSA-2013-3

ヒューレット・パッカード

• HP Security Bulletin : HPSBUX02638

ブルーコートシステムズ

• Security Advisories : SA53

レッドハット

• Red Hat Security Advisory : RHSA-2010:0977
• Red Hat Security Advisory : RHSA-2010:0978
• Red Hat Security Advisory : RHSA-2010:0979

1. 情報不足(CWE-noinfo) [NVD評価]

1. CVE-2010-4180

1. JVN : JVNVU#976710
2. JVN : JVNVU#91284469
3. National Vulnerability Database (NVD) : CVE-2010-4180
4. Secunia Advisory : SA42473
5. SecurityFocus : 45164
6. SecurityTracker : 1024822
7. VUPEN Security : VUPEN/ADV-2010-3120
8. OPEN SOURCE VULNERABILITY DATABASE (OSVDB) : 69565

• [2010年12月24日]
    掲載
  [2011年02月18日]
    影響を受けるシステム：ブルーコートシステムズ (SA53) の情報を追加
    ベンダ情報：ブルーコートシステムズ (SA53) を追加
  [2011年03月22日]
    影響を受けるシステム：ヒューレット・パッカード (HPSBUX02638) の情報を追加
    ベンダ情報：ヒューレット・パッカード (HPSBUX02638) を追加
  [2011年05月16日]
    影響を受けるシステム：オラクル (cve_2010_4180_affects_openssl) の情報を追加
    ベンダ情報：オラクル (cve_2010_4180_affects_openssl) を追加
  [2011年06月30日]
    影響を受けるシステム：アップル (HT4723) の情報を追加
    ベンダ情報：アップル (HT4723) を追加
  [2012年10月01日]
    ベンダ情報：オラクル (Multiple OpenSSL vulnerabilities in Sun SPARC Enterprise M-series XCP Firmware) を追加
  [2012年12月18日]
    影響を受けるシステム：VMware (VMSA-2011-0013) の情報を追加
    ベンダ情報：VMware (VMSA-2011-0013) を追加
  [2013年08月09日]
    ベンダ情報：ターボリナックス (TLSA-2013-3) を追加