JVNDB-2002-000172
|
OpenSSL の SSL2/SSL3 ハンドシェイクにおけるバッファオーバーフローの脆弱性
|
|
OpenSSL には、 OpenSSL サーバにおいて SSL version 2.0 (以下、SSLv2) ハンドシェイク処理によりバッファオーバーフローの脆弱性が、また OpenSSL クライアントにおいて SSLv3 ハンドシェイク処理によりバッファオーバーフローの脆弱性が存在します。
|
|
CVSS v2 による深刻度
基本値: 7.5 (危険) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
|
OpenSSL Project
オラクル
- Oracle Application Server 9iAS
- Oracle Application Server 1.0.2.2 およびそれ以前
- Oracle Application Server 9.0.2.0.0
- Oracle Database 8.1.7.1 およびそれ以前
- Oracle Database 9.0.2 およびそれ以前
- Oracle Database 9.2.0
サン・マイクロシステムズ
- Sun Cobalt RaQ3
- Sun Cobalt RaQ4
- Sun Cobalt RaQXTR
ヒューレット・パッカード
- HP-UX 11.00
- HP-UX 11.11
- HP-UX 11.20
- HP-UX 11.22
- HP-UX (VVOS) 11.04
レッドハット
- Red Hat Linux 6.2
- Red Hat Linux 7.0
- Red Hat Linux 7.1
- Red Hat Linux 7.2
- Red Hat Linux 7.3
|
|
|
第三者により不正な接続が行われた SSL サーバ上、あるいは標的ユーザの悪意あるサーバへの接続により OpenSSL クライアントシステム上で任意のコードを実行される可能性があります。
|
|
ベンダより正式な対策が公開されています (OpenSSL 0.9.6e で修正済み)。ベンダ情報を参照して適切な対策を実施してください。
|
|
OpenSSL Project
オラクル
- Oracle Security Alert : #37
サン・マイクロシステムズ
- Sun Alert Notification : 46424
ヒューレット・パッカード
レッドハット
|
|
|
|
- CVE-2002-0656
|
|
- JVN : JVNCA-2002-23
- JVN : JVNCA-2002-27
- National Vulnerability Database (NVD) : CVE-2002-0656
- JPCERT REPORT : JPCERT-WR-2002-3001
- JPCERT REPORT : JPCERT-WR-2002-3101
- JPCERT REPORT : JPCERT-WR-2002-3201
- JPCERT REPORT : JPCERT-WR-2002-3601
- 警察庁 @police : OpenSSLの脆弱性を攻撃するプログラムの検証結果について
- 警察庁 @police : SSLの脆弱性を悪用した国内ウェブページ改ざん事案の多発について
- CERT Advisory : CA-2002-23
- CERT Advisory : CA-2002-27
- US-CERT Vulnerability Note : VU#102795
- US-CERT Vulnerability Note : VU#258555
- IPA セキュリティセンター : OpenSSL に複数の脆弱性
- CIAC Bulletins : M-103
- SecurityFocus : 5362
|
|
|
