JVNDB-2015-003437

Mozilla 製品などで使用される Mozilla Network Security Services における暗号保護メカニズムを破られる脆弱性

Mozilla Firefox、Thunderbird およびその他の製品で使用される Mozilla Network Security Services (NSS) は、TLS ステートマシンのステートの遷移を適切に判定しないため、暗号保護メカニズムを破られる脆弱性が存在します。

本脆弱性は、"SMACK SKIP-TLS" の問題と呼ばれています。

Mozilla Foundation

• Mozilla Firefox 39.0 未満
• Mozilla Firefox ESR 31.8 未満の 31.x
• Mozilla Firefox ESR 38.1 未満の 38.x
• Mozilla Network Security Services (NSS) 3.19 未満
• Mozilla Thunderbird 38.1 未満

オラクル

• Oracle Directory Server Enterprise Edition 11.1.1.7.0
• Oracle Directory Server Enterprise Edition 7.0
• Oracle GlassFish Server 2.1.1
• Oracle iPlanet Web Proxy Server 4.0
• Oracle iPlanet Web Server 7.0
• Oracle OpenSSO 3.0-0.7
• Oracle Traffic Director 11.1.1.7.0
• Oracle Traffic Director 11.1.1.9.0

中間者攻撃 (man-in-the-middle attack) により、メッセージをブロックされることで、 暗号保護メカニズムを破られる可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Mozilla Foundation

• Mozilla Bugzilla : Bug 1086145
• Mozilla Developer Network : NSS 3.19 release notes
• Mozilla Foundation Security Advisory : MFSA2015-71
• Mozilla Foundation セキュリティアドバイザリ : MFSA2015-71

オラクル

• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - April 2016
• Oracle Critical Patch Update : Oracle Critical Patch Update CVSS V2 Risk Matrices - April 2016
• Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - April 2016 Risk Matrices
• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - July 2016
• Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - July 2016 Risk Matrices
• Oracle Technology Network : Oracle Solaris Third Party Bulletin - October 2015
• SECURITY BLOG : April 2016 Critical Patch Update Released
• SECURITY BLOG : July 2016 Critical Patch Update Released

1. 暗号の問題(CWE-310) [NVD評価]

1. CVE-2015-2721

1. National Vulnerability Database (NVD) : CVE-2015-2721

• [2015年07月09日]
    掲載
  [2015年11月06日]
    ベンダ情報：オラクル (Oracle Solaris Third Party Bulletin - October 2015) を追加
  [2016年05月31日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - April 2016) を追加
    ベンダ情報：オラクル (Oracle Critical Patch Update CVSS V2 Risk Matrices - April 2016) を追加
    ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - April 2016 Risk Matrices) を追加
    ベンダ情報：オラクル (April 2016 Critical Patch Update Released) を追加
  [2016年08月22日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - July 2016) を追加
    ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - July 2016 Risk Matrices) を追加
    ベンダ情報：オラクル (July 2016 Critical Patch Update Released) を追加