JVNDB-2010-001229

OpenSSL における複数の関数に関する脆弱性

OpenSSL には、crypto/bn/bn_div.c、crypto/bn/bn_gf2m.c、crypto/ec/ec2_smpl.c、engines/e_ubsec.c の bn_wexpand 関数の呼び出しにおいて NULL の戻り値をチェックできないため、詳細不明な脆弱性が存在します。

IBM

• IBM AIX 5.2 
• IBM AIX 5.3 
• IBM AIX 6.1 

OpenSSL Project

• OpenSSL 0.9.8m 未満

アップル

• Apple Mac OS X v10.6 から v10.6.7
• Apple Mac OS X Server v10.6 から v10.6.7

ターボリナックス

• Turbolinux Appliance Server 2.0  
• Turbolinux Appliance Server 3.0  
• Turbolinux Appliance Server 3.0 (x64) 
• Turbolinux Server 10  
• Turbolinux Server 10 (x64) 
• Turbolinux Server 11  
• Turbolinux Server 11 (x64) 

ヒューレット・パッカード

• HP-UX 11.11 
• HP-UX 11.23 
• HP-UX 11.31 

ミラクル・リナックス

• Asianux Server 3 (x86) 
• Asianux Server 3 (x86-64) 
• Asianux Server 3.0 
• Asianux Server 3.0 (x86-64) 
• Asianux Server 4.0 
• Asianux Server 4.0 (x86-64) 

レッドハット

• Red Hat Enterprise Linux 5 (server) 
• Red Hat Enterprise Linux 3 (as) 
• Red Hat Enterprise Linux 4 (as) 
• Red Hat Enterprise Linux 4.8 (as) 
• Red Hat Enterprise Linux 3 (es) 
• Red Hat Enterprise Linux 4 (es) 
• Red Hat Enterprise Linux 4.8 (es) 
• Red Hat Enterprise Linux 3 (ws) 
• Red Hat Enterprise Linux 4 (ws) 
• Red Hat Enterprise Linux Desktop 3.0 
• Red Hat Enterprise Linux Desktop 4.0 
• Red Hat Enterprise Linux Desktop 5.0 (client) 
• Red Hat Enterprise Linux EUS 5.4.z (server) 
• RHEL Desktop Workstation 5 (client) 

日立

• Hitachi Web Server
• Hitachi Web Server - Security Enhancement

この脆弱性による影響の詳細は不明です。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

IBM

• IBM Support Document : 5092
• IBM Support Document : 5101

OpenSSL Project

• OpenSSL : Top Page

アップル

• Apple Security Updates : HT4723

オラクル

• SECURITY BLOG : Multiple OpenSSL vulnerabilities in Sun SPARC Enterprise M-series XCP Firmware

ターボリナックス

• 製品セキュリティ情報 : TLSA-2010-20

ヒューレット・パッカード

• HP Security Bulletin : HPSBUX02517

ミラクル・リナックス

• Asianux Technical Support Network : openssl-0.9.8e-12.AXS3.6
• MIRACLE LINUX アップデート情報 : 2045
• MIRACLE LINUX アップデート情報 : 2168

レッドハット

• Red Hat Security Advisory : RHSA-2010:0162
• Red Hat Security Advisory : RHSA-2010:0173
• Red Hat Security Advisory : RHSA-2010:0977

日立

• Hitachi Software Vulnerability Information : HS10-008
• ソフトウェア製品セキュリティ情報 : HS10-008

1. 不適切な入力確認(CWE-20) [NVD評価]

1. CVE-2009-3245

1. JVN : JVNVU#976710
2. National Vulnerability Database (NVD) : CVE-2009-3245
3. Secunia Advisory : SA37291
4. SecurityFocus : 38562

• [2010年04月09日]
    掲載
  [2010年05月13日]
    影響を受けるシステム：ヒューレット・パッカード (HPSBUX02517) の情報を追加
    ベンダ情報：ヒューレット・パッカード (HPSBUX02517) を追加
  [2010年06月02日]
    影響を受けるシステム：IBM (5092) の情報を追加
    影響を受けるシステム：日立 (HS10-008) の情報を追加
    ベンダ情報：IBM (5092) を追加
    ベンダ情報：日立 (HS10-008) を追加
  [2010年06月16日]
    ベンダ情報：IBM (5101) を追加
  [2010年07月15日]
    影響を受けるシステム：ターボリナックス (TLSA-2010-20) の情報を追加
    ベンダ情報：ターボリナックス (TLSA-2010-20) を追加
  [2010年12月22日]
    ベンダ情報：ミラクル・リナックス (2168) を追加
    ベンダ情報：レッドハット (RHSA-2010:0977) を追加
  [2011年06月29日]
    影響を受けるシステム：アップル (HT4723) の情報を追加
    ベンダ情報：アップル (HT4723) を追加
  [2012年10月01日]
    ベンダ情報：オラクル (Multiple OpenSSL vulnerabilities in Sun SPARC Enterprise M-series XCP Firmware) を追加