【活用ガイド】

[English]

JVNDB-2014-000048

OpenSSL における Change Cipher Spec メッセージの処理に脆弱性

概要

OpenSSL には、初期 SSL/TLS ハンドシェイクにおける Change Cipher Spec メッセージの処理に脆弱性が存在します。

最初の SSL/TLS ハンドシェイクでは、暗号化通信で使われる暗号化鍵を生成するために鍵情報の交換を行い、それに続き Change Cipher Spec メッセージがサーバからクライアントへ、クライアントからサーバへ送られます。
OpenSSL には、Change Cipher Spec プロトコルの実装に問題があり、鍵情報の交換の前に Change Cipher Spec メッセージを受け取ると、空の鍵情報を使って暗号化鍵を生成してしまいます (CWE-325)。

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 株式会社レピダム 菊池正史 氏

CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 4.0 (警告) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 高
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): なし
影響を受けるシステム

サーバ側およびクライアント側で使用している OpenSSL のバージョンが以下の組み合わせの場合に、本脆弱性の影響を受けることが確認されています。
サーバ側:

OpenSSL Project
  • OpenSSL 1.0.1 系列のうち OpenSSL 1.0.1g およびそれ以前

クライアント側:

OpenSSL Project
  • OpenSSL 1.0.1 系列のうち OpenSSL 1.0.1g およびそれ以前
  • OpenSSL 1.0.0 系列のうち OpenSSL 1.0.0l およびそれ以前
  • OpenSSL 0.9.8 系列のうち OpenSSL 0.9.8y およびそれ以前
想定される影響

サーバとクライアント間の SSL/TLS 通信が、中間者攻撃 (man-in-the-middle attack) によって解読されたり、改ざんされたりする可能性があります。
対策

[アップデートする]
開発者が提供する情報をもとに最新版へアップデートしてください。
ベンダ情報

BlackBerry
  • BlackBerry Knowledge Base : KB36051
FileZilla Huawei IBM InterSect Alliance International Pty Kerio Technologies Novell OpenSSL Project Puppet Splunk Tenable Network Security VMware アップル
  • Apple Security Updates : HT6443
  • Apple セキュリティアップデート : HT6443
アライドテレシス オラクル シスコシステムズ ターボリナックス トレンドマイクロ バッファロー ヒューレット・パッカード フォーティネット ブルーコートシステムズ
  • Security Advisories : SA80
マカフィー ミラクル・リナックス ヤマハ レッドハット 横河電機株式会社 東芝テック 日本電気
  • NEC製品セキュリティ情報 : NV15-011
  • NEC製品セキュリティ情報 : AV14-002
日立 富士通
CWEによる脆弱性タイプ一覧  CWEとは?

  1. その他(CWE-Other) [IPA評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2014-0224
参考情報

  1. JVN : JVN#61247051
  2. JVN : JVNVU#93868849
  3. National Vulnerability Database (NVD) : CVE-2014-0224
  4. IPA 重要なセキュリティ情報 : 「OpenSSL」における Change Cipher Spec メッセージ処理の脆弱性対策について(JVN#61247051)
  5. US-CERT Vulnerability Note : VU#978508
  6. ICS-CERT ADVISORY : ICSA-14-156-01
  7. ICS-CERT ADVISORY : ICSA-14-198-03
  8. CERT-FI : Haavoittuvuuksia OpenSSL-kirjastossa
  9. 関連文書 : CCS Injection Vulnerability
  10. 関連文書 : CCS Injection脆弱性(CVE-2014-0224)発見の経緯についての紹介 
  11. 関連文書 : Here is the timeline from my (OpenSSL) perspective for the recent CCS Injection (MITM) vulnerability as well as the other flaws being fixed today
  12. 関連文書 : 株式会社アラタナ の告知ページ
  13. IETF : Change Cipher Spec
更新履歴

  • [2014年06月06日]
      掲載
    [2014年06月09日]
      ベンダ情報:OpenSSL Project (Fix for CVE-2014-0224) を追加
      ベンダ情報:ミラクル・リナックス (OpenSSL CCS Injection の脆弱性 (CVE-2014-0224) の影響と対処) を追加
      ベンダ情報:ヤマハ (OpenSSL「Change Cipher Specメッセージ処理」の脆弱性について) を追加
      ベンダ情報:富士通 (OpenSSL における Change Cipher Spec メッセージの処理に脆弱性 (CVE-2014-0224)) を追加
      ベンダ情報:レッドハット (OpenSSL MITM CCS injection attack (CVE-2014-0224)) を追加
      ベンダ情報:レッドハット (Bug 1103586) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2014-0224) を追加
      参考情報:ICS-CERT ADVISORY (ICSA-14-156-01) を追加
    [2014年06月10日]
      ベンダ情報:トレンドマイクロ (アラート/アドバイザリ: OpenSSL の脆弱性 (CVE-2014-0224) について) を追加
    [2014年06月11日]
      ベンダ情報:ミラクル・リナックス (openssl-1.0.1e-16.AXS4.14) を追加
      ベンダ情報:ミラクル・リナックス (openssl098e-0.9.8e-18.AXS4.2) を追加
      ベンダ情報:ミラクル・リナックス (openssl-0.9.8e-27.AXS3.3) を追加
      ベンダ情報:ミラクル・リナックス (openssl097a-0.9.7a-12.AXS3.1) を追加
    [2014年06月16日]
      ベンダ情報:横河電機株式会社 (横河電機株式会社からの情報) を追加
      ベンダ情報:富士通 (Systemwalker Runbook Automation: OpenSSL における Change Cipher Spec メッセージの処理に脆弱性(CVE-2014-0224)) を追加
      ベンダ情報:富士通 (Systemwalker Service Quality Coordinator: OpenSSL における Change Cipher Spec メッセージの処理に脆弱性(CVE-2014-0224)) を追加
    [2014年06月23日]
      ベンダ情報:オラクル (CVE-2014-0224 Cryptographic Issues vulnerability in OpenSSL) を追加
      ベンダ情報:オラクル (CVE-2014-0224 Cryptographic Issues vulnerability in WAN Boot) を追加
    [2014年06月24日]
      ベンダ情報:日立 (HIRT-PUB14010) を追加
    [2014年06月26日]
      ベンダ情報:ターボリナックス (TLSA-2014-3) を追加
    [2014年06月27日]
      ベンダ情報:シスコシステムズ (cisco-sa-20140605-openssl) を追加
      ベンダ情報:ブルーコートシステムズ (SA80) を追加
    [2014年07月01日]
      ベンダ情報:VMware (2079783) を追加
      ベンダ情報:VMware (VMSA-2014-0006) を追加
      ベンダ情報:富士通 (Systemwalker Desktop Keeper, Systemwalker Desktop Patrol: OpenSSL の Change Cipher Spec メッセージの処理に脆弱性(CVE-2014-0224)) を追加
    [2014年07月09日]
      ベンダ情報:富士通 (Systemwalker Centric Manager: OpenSSL における Change Cipher Spec メッセージの処理に脆弱性(JVNDB-2014-000048)) を追加
    [2014年07月11日]
      ベンダ情報:Kerio Technologies (Kerio Control Release History) を追加
      ベンダ情報:富士通 (Symantec Backup Exec 2012/ ETERNUS BE50: OpenSSL における Change Cipher Spec メッセージ処理の脆弱性 (CVE-2014-0224)) を追加
    [2014年07月16日]
      ベンダ情報:富士通 (Symfoware Server: OpenSSLの脆弱性(CVE-2014-0224, CVE-2014-0221, CVE-2014-0195, CVE-2014-3470)) を追加
    [2014年07月18日]
      ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2014) を追加
      ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - July 2014 Risk Matrices) を追加
      ベンダ情報:オラクル (July 2014 Critical Patch Update Released) を追加
      参考情報:ICS-CERT ADVISORY (ICSA-14-198-03) を追加
    [2014年08月05日]
      ベンダ情報:レッドハット (RHSA-2014:0624) を追加
      ベンダ情報:レッドハット (RHSA-2014:0626) を追加
      ベンダ情報:レッドハット (RHSA-2014:0627) を追加
      ベンダ情報:レッドハット (RHSA-2014:0630) を追加
      ベンダ情報:レッドハット (RHSA-2014:0631) を追加
      ベンダ情報:レッドハット (RHSA-2014:0632) を追加
      ベンダ情報:レッドハット (RHSA-2014:0633) を追加
      ベンダ情報:レッドハット (RHSA-2014:0680) を追加
      ベンダ情報:BlackBerry (KB36051) を追加
      ベンダ情報:FileZilla (Version history) を追加
      ベンダ情報:Huawei (Huawei-SA-20140613-OpenSSL) を追加
      ベンダ情報:InterSect Alliance International Pty (Release Notes for Snare Enterprise Agent for MSSQL v1.2) を追加
      ベンダ情報:InterSect Alliance International Pty (Release Notes for Snare Enterprise Agent for Windows v4.2) を追加
      ベンダ情報:Novell (7015300) を追加
      ベンダ情報:Novell (7015264) を追加
      ベンダ情報:Splunk (Splunk Enterprise 6.1.2, 6.0.5 and 5.0.9 address two vulnerabilities - July 1, 2014) を追加
      ベンダ情報:Tenable Network Security (Nessus 5.2.7 and PVS 4.0.3 Are Available for Download) を追加
      ベンダ情報:Tenable Network Security (Nessus 5.2.7 Now Available) を追加
      ベンダ情報:オラクル (Changes in MySQL Workbench 6.1.7 (2014-06-27)) を追加
      ベンダ情報:トレンドマイクロ (Trend Micro products and the CCS Injection Vulnerability - [CVE-2014-0224] OpenSSL Vulnerability) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBMU03053 SSRT101613) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBMU03058 SSRT101591) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBMU03070 SSRT101637) を追加
      ベンダ情報:マカフィー (SB10075) を追加
      ベンダ情報:IBM (00001841) を追加
      ベンダ情報:IBM (00001843) を追加
      ベンダ情報:IBM (N1020172) を追加
      ベンダ情報:IBM (S1004690) を追加
      ベンダ情報:IBM (1673137) を追加
      ベンダ情報:IBM (1676035) を追加
      ベンダ情報:IBM (1676062) を追加
      ベンダ情報:IBM (1676419) を追加
      ベンダ情報:IBM (1676496) を追加
      ベンダ情報:IBM (1676655) を追加
      ベンダ情報:IBM (1676845) を追加
      ベンダ情報:IBM (1677390) を追加
      ベンダ情報:IBM (1677567) を追加
      ベンダ情報:IBM (1677695) を追加
      ベンダ情報:IBM (1677828) を追加
      ベンダ情報:IBM (1678167) を追加
      ベンダ情報:IBM (1678289) を追加
      ベンダ情報:IBM (4037761) を追加
      ベンダ情報:IBM (IBM Flex System Integrated Management Module II (IMM2) is affected by the following OpenSSL vulnerability: CVE-2014-0224) を追加
      ベンダ情報:IBM (IBM System Networking switches that are affected by the OpenSSL vulnerability: CVE-2014-0224) を追加
      ベンダ情報:IBM (Announcing PTF MH01439 for HMC Version 7 Release 7.7.0 Service Pack 3) を追加
      ベンダ情報:IBM (Announcing PTF MH01438 for HMC Version 7 Release 7.6.0 Service Pack 3) を追加
      ベンダ情報:フォーティネット (Multiple Vulnerabilities in OpenSSL) を追加
    [2014年08月18日]
      ベンダ情報:Puppet Labs (CVE-2014-0224) を追加
    [2014年09月10日]
      ベンダ情報:オラクル (ELSA-2014-1053) を追加
    [2014年09月24日]
      ベンダ情報:アップル (HT6443) を追加
      参考情報:JVN (JVNVU#93868849) を追加
    [2014年10月06日]
      ベンダ情報:バッファロー (OpenSSL における Change Cipher Spec メッセージの処理に脆弱性 (CVE-2014-0224)) を追加
    [2014年10月21日]
      ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - October 2014) を追加
      ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - October 2014 Risk Matrices) を追加
      ベンダ情報:オラクル (October 2014 Critical Patch Update Released) を追加
    [2015年01月22日]
      ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - January 2015) を追加
      ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices) を追加
      ベンダ情報:オラクル (January 2015 Critical Patch Update Released) を追加
    [2015年04月22日]
      ベンダ情報:日立 (HS15-012) を追加
    [2015年06月26日]
      ベンダ情報:ヒューレット・パッカード (HPSBST03195) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBST03265) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBMU03216) を追加
    [2015年10月28日]
      ベンダ情報:日本電気 (NV15-011) を追加
    [2015年12月17日]
      ベンダ情報:日立 (OpenSSLの脆弱性(CVE-2014-0224他)によるHA8500シリーズへの影響について) を追加
      ベンダ情報:日立 (OpenSSLの脆弱性(CVE-2014-0224他)によるテープライブラリ装置への影響について)による影響について) を追加
    [2016年07月27日]
      ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2016) を追加
      ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - July 2016 Risk Matrices) を追加
      ベンダ情報:オラクル (July 2016 Critical Patch Update Released) を追加
    [2016年11月22日]
      ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - October 2016) を追加
      ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - October 2016 Risk Matrices) を追加
      ベンダ情報:オラクル (October 2016 Critical Patch Update Released) を追加