JVNDB-2015-005826

Bouncy Castle Java ライブラリにおける秘密鍵を取得される脆弱性

Bouncy Castle Java ライブラリは、点 (point) が楕円曲線 (elliptic curve) の範囲内にあることを検証しないため、秘密鍵を取得される脆弱性が存在します。

本脆弱性は "invalid curve 攻撃" と呼ばれています。

Bouncy Castle

• Bouncy Castle Crypto Package for Java 1.51 未満

Novell

• openSUSE 13.2
• openSUSE 13.1
• openSUSE Leap 42.1

オラクル

• Oracle Application Testing Suite 12.5.0.1
• Oracle Application Testing Suite 12.5.0.2
• Oracle Application Testing Suite 12.5.0.3
• Oracle Enterprise Manager 12.1.4
• Oracle Enterprise Manager 12.2.2
• Oracle Virtual Desktop Infrastructure 3.5.3 未満
• PeopleSoft Enterprise PeopleTools 8.54
• PeopleSoft Enterprise PeopleTools 8.55

第三者により、一連の巧妙に細工された楕円曲線ディフィー・ヘルマン (ECDH) の鍵交換を介して、秘密鍵を取得される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Bouncy Castle

• Bouncy Castle : Top Page
• GitHub : The Bouncy Castle Crypto Package For Java

Novell

• opensuse-security-announce : openSUSE-SU-2015:1911

オラクル

• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - October 2016
• Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - October 2016 Risk Matrices
• SECURITY BLOG : October 2016 Critical Patch Update Released

1. 情報漏えい(CWE-200) [NVD評価]
2. 暗号の問題(CWE-310) [NVD評価]

1. CVE-2015-7940

1. National Vulnerability Database (NVD) : CVE-2015-7940
2. 関連文書 : On Web-Security and -Insecurity

• [2015年11月11日]
    掲載
  [2016年11月22日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - October 2016) を追加
    ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - October 2016 Risk Matrices) を追加
    ベンダ情報：オラクル (October 2016 Critical Patch Update Released) を追加