JVNDB-2006-000595

OpenSSL の get_server_hello() 関数におけるサービス運用妨害 (DoS) の脆弱性

OpenSSL の SSLv2 はクライアント側の処理を行う get_server_hello() 関数において、NULL 値のチェックが不適切なため、悪意あるサーバと SSLv2 コネクションを生成した場合にアプリケーションがクラッシュしてしまう脆弱性が存在します。

OpenSSL Project

• OpenSSL 0.9.7k およびそれ以前
• OpenSSL 0.9.8c およびそれ以前

アライドテレシス

• CentreCOM AR570S
• CentreCOM AR550S
• CentreCOM AR450S
• CentreCOM AR410V2
• CentreCOM AR740

オラクル

• Oracle E-Business Suite 11.5.10CU2
• Oracle HTTP Server 9.2.0.8

サン・マイクロシステムズ

• Sun Solaris 10 (sparc) 
• Sun Solaris 10 (x86) 

ターボリナックス

• Turbolinux 10_f 
• Turbolinux Appliance Server 1.0 (hosting) 
• Turbolinux Appliance Server 1.0 (workgroup) 
• Turbolinux Appliance Server 2.0  
• Turbolinux Desktop 10 
• Turbolinux FUJI
• Turbolinux Multimedia
• Turbolinux Personal
• Turbolinux Server 10  
• Turbolinux Server 10 (x64) 
• Turbolinux Server 7  
• Turbolinux Server 8  
• ターボリナックス ホーム 

トレンドマイクロ

• TrendMicro InterScan Web Security Suite 1.1 Solaris版

ヒューレット・パッカード

• HP-UX 11.11 
• HP-UX 11.23 

ミラクル・リナックス

• Asianux Server 4.0 
• Asianux Server 4.0 (x86-64) 
• Asianux Server 2.0 
• Asianux Server 2.1 

レッドハット

• Red Hat Enterprise Linux 2.1 (as) 
• Red Hat Enterprise Linux 3 (as) 
• Red Hat Enterprise Linux 4 (as) 
• Red Hat Enterprise Linux 2.1 (es) 
• Red Hat Enterprise Linux 3 (es) 
• Red Hat Enterprise Linux 4 (es) 
• Red Hat Enterprise Linux 2.1 (ws) 
• Red Hat Enterprise Linux 3 (ws) 
• Red Hat Enterprise Linux 4 (ws) 
• Red Hat Enterprise Linux Desktop 3.0 
• Red Hat Enterprise Linux Desktop 4.0 
• Red Hat Linux Advanced Workstation 2.1 

古河電気工業

• FITELnet-Fシリーズ
• MUCHOシリーズ

OpenSSL を使用するクライアントアプリケーションがサービス運用妨害 (DoS) 状態となる可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

OpenSSL Project

• OpenSSL Security Advisory : secadv_20060928

アライドテレシス

• セキュリティ・脆弱性について : X.509証明書に関する脆弱性について

オラクル

• Critical Patch Updates and Security Alerts : Oracle Critical Patch Update - January 2007
• オラクル・セキュリティ・アラート : Oracle Critical Patch Update - January 2007

サン・マイクロシステムズ

• Sun Alert Notification : 102711

ターボリナックス

• Turbolinux Security Advisory (英語) : TLSA-2006-33
• 製品セキュリティ情報 : TLSA-2006-33

トレンドマイクロ

• Trend Micro ReadMe Documentation : readme_iwss11_sol_patch7_b1182

ヒューレット・パッカード

• HP Security Bulletin : HPSBUX02174
• HP セキュリティ報告 : HPSBUX02174

ミラクル・リナックス

• MIRACLE LINUX アップデート情報 : openssl (V4.0)
• MIRACLE LINUX アップデート情報 : openssl (V2.x)

レッドハット

• Red Hat Security Advisory : RHSA-2006:0695
• レッドハット セキュリティーアップデート : RHSA-2006:0695

富士通

• 富士通 公開脆弱性情報 : 729618/NISCC/PARASITIC-KEYS

1. 設計上の問題(CWE-DesignError) [NVD評価]

1. CVE-2006-4343

1. JVN : JVNVU#386964
2. JVN : JVNTA06-333A
3. JVN : NISCC-729618
4. JVN Status Tracking Notes : TRTA06-333A
5. National Vulnerability Database (NVD) : CVE-2006-4343
6. JPCERT REPORT : JPCERT-WR-2004-4501
7. US-CERT Cyber Security Alerts : SA06-333A
8. US-CERT Vulnerability Note : VU#386964
9. US-CERT Technical Cyber Security Alert : TA06-333A
10. NISCC Vulnerability Advisory : 729618/NISCC/PARASITIC-KEYS
11. CPNI Vulnerability Advisory : 00661
12. Secunia Advisory : SA22130
13. SecurityFocus : 20246
14. FrSIRT Advisories : FrSIRT/ADV-2006-3820

• [2007年04月01日]
    掲載
  [2007年05月29日]
    影響を受けるシステムを更新しました。
    ベンダ情報: ミラクル・リナックスの情報を追加しました。
  [2007年12月03日]
    影響を受けるシステム：アライドテレシスの情報を追加しました。
    ベンダ情報：アライドテレシスの情報を追加しました。
  [2008年12月09日]
    影響を受けるシステム：トレンドマイクロ (readme_iwss11_sol_patch7_b1182) の情報を追加
    ベンダ情報：トレンドマイクロ (readme_iwss11_sol_patch7_b1182) を追加