【活用ガイド】

JVNDB-2006-000532

複数の RSA 実装において署名が正しく検証されない脆弱性

概要

RSA 署名は、メッセージの発信元が信頼できることを証明するために用いられます。

RSA を実装している複数のソフトウェアにおいて、署名が正しく検証されない脆弱性が存在します。例えば、SSH、SSL、PGP、X.509 などのソフトウェアに影響を及ぼす可能性があります。
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 5.1 (警告) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 高
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): 部分的
影響を受けるシステム


BEAシステムズ
  • BEA WebLogic Express 9.2
  • BEA WebLogic Express 9.1
  • BEA WebLogic Express 9.0
  • BEA WebLogic Express 8.1 SP 6 およびそれ以前
  • BEA WebLogic Express 7.0 SP 7 およびそれ以前
  • BEA WebLogic Server 9.2
  • BEA WebLogic Server 9.1
  • BEA WebLogic Server 9.0
  • BEA WebLogic Server 8.1 SP 6 およびそれ以前
  • BEA WebLogic Server 7.0 SP 7 およびそれ以前
ISC, Inc.
  • BIND 9.2.6-P1 およびそれ以前
  • BIND 9.3.2-P1 およびそれ以前
OpenOffice.org Project
  • OpenOffice.org 3.2 未満
  • OpenOffice.org 2
OpenSSL Project
  • OpenSSL 0.9.7j およびそれ以前
  • OpenSSL 0.9.8b およびそれ以前
SSH コミュニケーションズ・セキュリティ
  • SSH Tectia Client 5.1.0 およびそれ以前
  • SSH Tectia Server 5.1.0 およびそれ以前
アップル
  • Apple Mac OS X v10.3.9
  • Apple Mac OS X v10.4.8
  • Apple Mac OS X v10.4.10
  • Apple Mac OS X Server v10.3.9
  • Apple Mac OS X Server v10.4.8
  • Apple Mac OS X Server v10.4.10
アライドテレシス
  • SwimRadius
  • CentreCOM AR570S
  • CentreCOM AR550S
  • CentreCOM AR450S
  • CentreCOM AR415S
  • CentreCOM AR410V2
  • CentreCOM AR740
オラクル
  • Oracle E-Business Suite 11.5.10CU2
  • Oracle HTTP Server 9.2.0.8
サン・マイクロシステムズ
  • J2SE 1.0.3_03 およびそれ以前
  • JDK 5.0 Update 8 およびそれ以前
  • JDK 1.3.1_19 およびそれ以前
  • JRE 5.0 Update 8 およびそれ以前
  • JRE 1.3.1_19 およびそれ以前
  • JRE 1.4.2_12 およびそれ以前
  • SDK 1.4.2_12 およびそれ以前
  • Sun Java Enterprise System 2005Q1および 2005Q4
  • Sun Java Enterprise System 2004Q2, 2005Q1 および 2005Q4
  • Sun Java Enterprise System 2003Q4
  • Sun Java System Application Server 7 2004Q2
  • Sun Java System Application Server Enterprise Edition 8.1 2005 Q1
  • Sun Java System Web Proxy Server 4.0 SP3 およびそれ以前
  • Sun Java System Web Server 6.0 SP10 およびそれ以前
  • Sun Java System Web Server 6.1 SP6 およびそれ以前
  • Sun ONE Application Server 7
  • Sun ONE Application Server Platform Edition 8.1 2005 Q1
  • Sun ONE Web Proxy Server 3.6
  • Sun Solaris 10 (sparc) 
  • Sun Solaris 8 (sparc) 
  • Sun Solaris 9 (sparc) 
  • Sun Solaris 10 (x86) 
  • Sun Solaris 8 (x86) 
  • Sun Solaris 9 (x86) 
センドメール社
  • Sendmail Advanced Message Server 2.2
  • Sendmail Switch 3.2.4 およびそれ以前
  • Sendmail Switch for Windows 3.1.5
ターボリナックス
  • Turbolinux 10_f 
  • Turbolinux Appliance Server 1.0 (hosting) 
  • Turbolinux Appliance Server 1.0 (workgroup) 
  • Turbolinux Appliance Server 2.0  
  • Turbolinux Desktop 10 
  • Turbolinux FUJI
  • Turbolinux Multimedia
  • Turbolinux Personal
  • Turbolinux Server 10  
  • Turbolinux Server 10 (x64) 
  • Turbolinux Server 7  
  • Turbolinux Server 8  
  • ターボリナックス ホーム 
トレンドマイクロ
  • InterScan Messaging Security Suite
  • Trend Micro ServerProtect for Linux
  • TrendMicro InterScan VirusWall
  • TrendMicro InterScan Web Security Suite
  • Trend Micro InterScan Gateway Security Appliance
ヒューレット・パッカード
  • HP-UX 11.04 
  • HP-UX 11.11 
  • HP-UX 11.23 
ミラクル・リナックス
  • Asianux Server 2.0 
  • Asianux Server 2.1 
  • Asianux Server 3.0 
  • Asianux Server 3.0 (x86-64) 
レッドハット
  • Red Hat Enterprise Linux 2.1 (as) 
  • Red Hat Enterprise Linux 3 (as) 
  • Red Hat Enterprise Linux 4 (as) 
  • Red Hat Enterprise Linux 2.1 (es) 
  • Red Hat Enterprise Linux 3 (es) 
  • Red Hat Enterprise Linux 4 (es) 
  • Red Hat Enterprise Linux 2.1 (ws) 
  • Red Hat Enterprise Linux 3 (ws) 
  • Red Hat Enterprise Linux 4 (ws) 
  • Red Hat Enterprise Linux Desktop 3.0 
  • Red Hat Enterprise Linux Desktop 4.0 
  • Red Hat Linux Advanced Workstation 2.1 
古河電気工業
  • FITELnet-Fシリーズ FITELnet-F40(PKI オプションを適用している場合のみ)
  • FITELnet-Fシリーズ FITELnet-F80
  • FITELnet-Fシリーズ FITELnet-F100
  • FITELnet-Fシリーズ FITELnet-F120
  • FITELnet-Fシリーズ FITELnet-F1000
  • MUCHOシリーズ MUCHO-EV/PK
日本電気
  • EnterpriseDirectoryServer 全バージョン
  • IP8800/700 シリーズ
  • PKIサーバ/Carassuit検証サーバ ver1.0
  • PKIサーバ/Carassuit検証サーバ ver1.1
  • SecureWare/PKIアプリケーション開発キット Ver2.0 SSLオプション
  • SecureWare/セキュリティパック
  • SecureWare/電子署名開発キット Ver1.0 SSLオプション(Linux版)
日立
  • Cosminexus Application Server Enterprise Version 6
  • Cosminexus Application Server Standard Version 6
  • Cosminexus Application Server Version 5
  • Cosminexus Developer Light Version 6
  • Cosminexus Developer Professional Version 6
  • Cosminexus Developer Standard Version 6
  • Cosminexus Developer Version 5
  • Cosminexus Server - Enterprise Edition
  • Cosminexus Server - Standard Edition
  • Cosminexus Server - Standard Edition Version 4
  • Cosminexus Server - Web Edition
  • Cosminexus Server - Web Edition Version 4
  • Hitachi Web Server
  • uCosminexus Application Server Enterprise
  • uCosminexus Application Server Standard
  • uCosminexus Developer Professional
  • uCosminexus Developer Light
  • uCosminexus Developer Standard
  • uCosminexus Service Architect
  • uCosminexus Service Platform
富士通
  • TeamWARE Office セキュリティオプション V5.3L11
  • TeamWARE Office セキュリティオプション V5.3L13
  • TeamWARE Office 200X セキュリティオプション V1.0L10
  • TeamWARE Office 200X セキュリティオプション V2.0L10
  • TeamWARE Office 200X セキュリティオプション V2.0L20
  • TeamWARE Office 200X セキュリティオプション V2.0L30

本脆弱性の影響を受ける日立製品の詳細については、ベンダ情報 HS07-034 をご確認ください。

本脆弱性の影響を受ける富士通製品の詳細については、ベンダ情報 証明書の操作に関するセキュリティ上の脆弱性 をご確認ください。

本脆弱性の影響を受ける日本電気製品の詳細については、ベンダ情報 NV06-007 をご確認ください。
なお、以下の製品のサポートは終了しています。
日本電気:IP8800/700
想定される影響

遠隔の第三者により RSA 署名が偽造される可能性があります。これにより、署名されたメッセージの正当性を確認できない場合があります。
対策

ベンダ情報より正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報

BEAシステムズ ISC, Inc. OpenOffice.org Project OpenSSL Project SSH コミュニケーションズ・セキュリティ
  • SSH Communications Security : 786
アップル アライドテレシス オラクル サン・マイクロシステムズ
  • Sun Alert Notification : 102722
  • Sun Alert Notification : 102686
  • Sun Alert Notification : 102696
  • Sun Alert Notification : 102656
  • Sun Alert Notification : 102648
  • Sun Alert Notification : 102759
センドメール社 ターボリナックス トレンドマイクロ ヒューレット・パッカード ミラクル・リナックス
  • MIRACLE LINUX アップデート情報 : 1003
  • MIRACLE LINUX アップデート情報 : 466
  • MIRACLE LINUX アップデート情報 : 462
レッドハット 古河電気工業 日本電気
  • NEC製品セキュリティ情報 : NV06-007
日立
  • Hitachi Software Vulnerability Information : HS07-034
  • ソフトウェア製品セキュリティ情報 : HS07-034
富士通
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 証明書・パスワードの管理(CWE-255) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2006-4339
参考情報

  1. JVN : JVNVU#845620
  2. JVN : JVNTA06-333A
  3. JVN : JVNTA07-017A
  4. JVN Status Tracking Notes : TRTA06-333A
  5. JVN Status Tracking Notes : TRTA07-017A
  6. National Vulnerability Database (NVD) : CVE-2006-4339
  7. US-CERT Cyber Security Alerts : SA06-333A
  8. US-CERT Vulnerability Note : VU#845620
  9. US-CERT Technical Cyber Security Alert : TA06-333A
  10. US-CERT Technical Cyber Security Alert : TA07-017A
  11. Secunia Advisory : SA21709
  12. SecurityFocus : 19849
  13. FrSIRT Advisories : FrSIRT/ADV-2006-3453
  14. FrSIRT Advisories : FrSIRT/ADV-2006-4032
更新履歴

  • [2007年04月01日]
      掲載
    [2007年05月21日]
      影響を受けるシステムを更新しました。
      ベンダ情報: サン・マイクロシステムズの情報を追加しました。
      ベンダ情報: BEAシステムズの情報を追加しました。
    [2007年05月29日]
      影響を受けるシステムを更新しました。
      ベンダ情報: ミラクル・リナックスの情報を追加しました。
    [2007年06月13日]
      JVNVU#845620 の情報を反映しました。
      影響を受けるシステムを更新しました。
      ベンダ情報: トレンドマイクロの情報を追加しました。
    [2007年06月19日]
      影響を受けるシステムを更新しました。
      ベンダ情報: ヒューレット・パッカードの情報を追加しました。
    [2007年06月20日]
      影響を受けるシステムを更新しました。
      ベンダ情報: 富士通の情報を追加しました。
    [2007年09月19日]
      影響を受けるシステム:アライドテレシスを追加しました。
      ベンダ情報: アライドテレシスの情報を追加しました。
    [2007年12月28日]
      影響を受けるシステム:アップル (Java Release 6 for Mac OS X 10.4) の情報追加。
      ベンダ情報: アップル (Java Release 6 for Mac OS X 10.4) 追加。
    [2010年02月26日]
      影響を受けるシステム:OpenOffice.org (CVE-2006-4339) の情報を追加
      ベンダ情報:OpenOffice.org (CVE-2006-4339) を追加
    [2014年05月23日]
      影響を受けるシステム:日立 (HS07-034) の情報を追加
      ベンダ情報:日立 (HS07-034) を追加