JVNDB-2015-006985
|
OpenSSL の ssl/s2_srvr.c における暗号保護メカニズムを破られる脆弱性
|
|
OpenSSL の ssl/s2_srvr.c は、無効にされた暗号の使用を制限しないため、暗号保護メカニズムを破られる脆弱性が存在します。
なお、JVNVU#95668716 では、CWE-757 として公開されています。
CWE-757: Selection of Less-Secure Algorithm During Negotiation ('Algorithm Downgrade')
https://cwe.mitre.org/data/definitions/757.html
|
|
CVSS v3 による深刻度
基本値: 5.9 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 高
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): なし
- 可用性への影響(A): なし
CVSS v2 による深刻度
基本値: 4.3 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): なし
- 可用性への影響(A): なし
|
|
|
OpenSSL Project
- OpenSSL 1.0.1r 未満の 1.0.1
- OpenSSL 1.0.2f 未満の 1.0.2
オラクル
- 40G 10G 72/64 Ethernet Switch 2.0.0
- JD Edwards EnterpriseOne Tools 9.2.0.5
- MySQL 5.6.29 およびそれ以前
- MySQL 5.7.11 およびそれ以前
- Oracle Business Intelligence Enterprise Edition 11.1.1.7.0
- Oracle Business Intelligence Enterprise Edition 11.1.1.9.0
- Oracle Business Intelligence Enterprise Edition 12.1.1.0.0
- Oracle Business Intelligence Enterprise Edition 12.2.1.1.0
- Oracle Communications Applications の Oracle Enterprise Session Border Controller Ecz7.3m1p4 およびそれ以前
- Oracle Communications Network Charging and Control 4.4.1.5.0
- Oracle Communications Network Charging and Control 5.0.0.1.0
- Oracle Communications Network Charging and Control 5.0.0.2.0
- Oracle Communications Network Charging and Control 5.0.1.0.0
- Oracle Communications Network Charging and Control 5.0.2.0.0
- Oracle Enterprise Manager Ops Center 12.1.4
- Oracle Enterprise Manager Ops Center 12.2.2
- Oracle Enterprise Manager Ops Center 12.3.2
- Oracle Exalogic Infrastructure 1.0
- Oracle Exalogic Infrastructure 2.0
- Oracle Switch ES1-24 1.3
- Oracle Tuxedo 12.1.1.0
- Oracle VM VirtualBox 5.0.16 未満
- OSS Support Tools Oracle Explorer 8.11.16.3.8
- PeopleSoft Enterprise PeopleTools 8.53
- PeopleSoft Enterprise PeopleTools 8.54
- PeopleSoft Enterprise PeopleTools 8.55
- Primavera P6 Enterprise Project Portfolio Management 15.1
- Primavera P6 Enterprise Project Portfolio Management 15.2
- Primavera P6 Enterprise Project Portfolio Management 8.3
- Primavera P6 Enterprise Project Portfolio Management 8.4
- Sun Blade 6000 Ethernet Switched NEM 24P 10GE 1.2
- Sun Network 10GE Switch 72P 1.2
日本電気
- CapsSuite V3.0 から V4.0 のマネージャコンポーネント
- EnterpriseDirectoryServer 全バージョン
- ESMPRO/ServerAgent Ver4.4.22-1以降 (Linux)
- ESMPRO/ServerAgentService 全バージョン (Linux)
- SecureWare/PKIアプリケーション開発キット Ver3.0
- SecureWare/PKIアプリケーション開発キット Ver3.01
- SecureWare/PKIアプリケーション開発キット Ver3.02
- SecureWare/PKIアプリケーション開発キット Ver3.1
- WebSAM Application Navigator Agent Ver3.3 から Ver4.1
- WebSAM Application Navigator Manager Ver3.2.2 から Ver4.1
- WebSAM MCOperations Ver3.6.2 から Ver4.2
- WebSAM SystemManager Ver5.5.2 から Ver6.2.1
- Express5800 /SG シリーズ InterSecVM/SG v1.2、v3.0、v3.1、v4.0
- Express5800 /SG シリーズ SG3600LM/LG/LJ v6.1、v6.2、v7.0、v7.1、v8.0、v8.2
- Express5800 /SG シリーズ UNIVERGE SG3000LG/LJ
日立
- Cosminexus Application Server Enterprise Version 6
- Cosminexus Application Server Standard Version 6
- Cosminexus Application Server Version 5
- Cosminexus Developer Light Version 6
- Cosminexus Developer Professional Version 6
- Cosminexus Developer Standard Version 6
- Cosminexus Developer Version 5
- Cosminexus Primary Server Base Version 6
- Cosminexus Primary Server Version 6
- Hitachi Web Server
- Hitachi Web Server - Security Enhancement
- uCosminexus Application Server Express
- uCosminexus Application Server Standard-R
- uCosminexus Application Server Enterprise
- uCosminexus Application Server Smart Edition
- uCosminexus Application Server Standard
- uCosminexus Developer 01
- uCosminexus Developer Professional
- uCosminexus Developer Professional for Plug-in
- uCosminexus Developer Light
- uCosminexus Developer Standard
- uCosminexus Primary Server Base
- uCosminexus Service Architect
- uCosminexus Service Platform
- uCosminexus Service Platform - Messaging
|
本脆弱性の影響を受ける日立製品の詳細については、ベンダ情報 HS16-015 をご確認ください。
本脆弱性の影響を受ける日本電気製品の詳細については、ベンダ情報 NV16-007 をご確認ください。
|
|
中間者攻撃 (man-in-the-middle attack) により、SSLv2 トラフィック上で計算を実行されることで、暗号保護メカニズムを破られる可能性があります。
|
|
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
|
|
OpenBSD
OpenSSL Project
オラクル
ターボリナックス
日本電気
日立
- Hitachi Software Vulnerability Information : HS16-015
- ソフトウェア製品セキュリティ情報 : HS16-015
|
|
- 情報漏えい(CWE-200) [NVD評価]
- 暗号の問題(CWE-310) [NVD評価]
- その他(CWE-Other) [IPA評価]
|
|
- CVE-2015-3197
|
|
- JVN : JVNVU#95668716
- National Vulnerability Database (NVD) : CVE-2015-3197
- US-CERT Vulnerability Note : VU#257823
|
|
- [2016年03月15日]
掲載
[2016年05月27日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
CVSS による深刻度:内容を更新
ベンダ情報:日立 (HS16-015) を追加
ベンダ情報:オラクル (Oracle Critical Patch Update CVSS V2 Risk Matrices - April 2016) を追加
ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - April 2016) を追加
ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - April 2016 Risk Matrices) を追加
ベンダ情報:オラクル (April 2016 Critical Patch Update Released) を追加
[2016年06月23日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:日本電気 (NV16-007) を追加
[2016年07月27日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2016) を追加
ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - July 2016 Risk Matrices) を追加
ベンダ情報:オラクル (July 2016 Critical Patch Update Released) を追加
[2016年08月02日]
影響を受けるシステム:ベンダ情報の更新に伴い内容を更新
[2016年08月25日]
影響を受けるシステム:ベンダ情報の更新に伴い内容を更新
[2016年11月22日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - October 2016) を追加
ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - October 2016 Risk Matrices) を追加
ベンダ情報:オラクル (October 2016 Critical Patch Update Released) を追加
ベンダ情報:オラクル (Oracle Solaris Third Party Bulletin - January 2016) を追加
ベンダ情報:オラクル (Oracle Linux Bulletin - January 2016) を追加
ベンダ情報:オラクル (Oracle VM Server for x86 Bulletin - July 2016) を追加
|
