JVNDB-2016-001617

JVNDB-2016-001617
OpenSSL の crypto/bio/b_print.c の doapr_outch 関数における整数オーバーフローの脆弱性
概要
OpenSSL の crypto/bio/b_print.c の doapr_outch 関数は、特定のメモリ割り当ての成功を検証しないため、サービス運用妨害 (out-of-bounds write またはメモリ消費) 状態にされるなど、不特定の影響を受ける脆弱性が存在します。本脆弱性は、CVE-2016-0799 とは異なる脆弱性です。
CVSS による深刻度 (CVSS とは?)
CVSS v3 による深刻度基本値: 9.8 (緊急) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): 高完全性への影響(I): 高可用性への影響(A): 高 CVSS v2 による深刻度基本値: 10.0 (危険) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃前の認証要否: 不要機密性への影響(C): 全面的完全性への影響(I): 全面的可用性への影響(A): 全面的
影響を受けるシステム

OpenSSL Project OpenSSL 1.0.1s 未満の 1.0.1 OpenSSL 1.0.2g 未満の 1.0.2 ヒューレット・パッカード・エンタープライズ HPE Insight Controlサーバー配備すべてのバージョン HPE Oneview for VMware vCenter 7.8.1 以前のリリース HPE Systems Insight Manager (HP SIM) 7.5.1 より前のバージョン System Management Homepage 7.5.5 より前のすべてのバージョン HPE BladeSystem c-Class Virtual Connect (VC) ファームウェア 4.30 から VC 4.45 HPE Virtual Connect Flex-10 10Gb Enet Module HPE Virtual Connect Flex-10/10D Module for c-Class BladeSystem HPE Virtual Connect FlexFabric 10Gb/24-port Module for c-Class BladeSystem HPE Virtual Connect FlexFabric-20/40 F8 Module for c-Class BladeSystem

想定される影響
第三者により、過度に長い文字列を介して、サービス運用妨害 (out-of-bounds write またはメモリ消費) 状態にされるなど、不特定の影響を受ける可能性があります。
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
OpenSSL Project OpenSSL : OpenSSL 1.0.2 Series Release Notes OpenSSL : OpenSSL 1.0.1 Series Release Notes OpenSSL Project : Fix memory issues in BIO_printf functions OpenSSL Security Advisory : Fix memory issues in BIO_printf functions (CVE-2016-0799) ヒューレット・パッカード・エンタープライズ HPE Security Bulletin : HPSBMU03607 HPE Security Bulletin : HPSBGN03569 HPE Security Bulletin : HPSBMU03590 HPE Security Bulletin : HPSBMU03593 HPE Security Bulletin : HPSBMU03601 HPE Security Bulletin : HPSBGN03587 HPE Security Bulletin : HPSBHF03592 HPE Security Bulletin : HPSBHF03594 HPE Security Bulletin : HPSBMU03575 HPE Security Bulletin : HPSBMU03600 HPE Security Bulletin : HPSBMU03611 HPE Security Bulletin : HPSBMU03612 レッドハット Red Hat Security Advisory : RHSA-2016:0722 Red Hat Security Advisory : RHSA-2016:0996
CWEによる脆弱性タイプ一覧 CWEとは?
バッファエラー(CWE-119) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2016-2842
参考情報
National Vulnerability Database (NVD) : CVE-2016-2842 ICS-CERT ADVISORY : ICSA-21-054-03
更新履歴
[2016年03月08日] 掲載 [2016年06月27日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：ヒューレット・パッカード・エンタープライズ (HPSBMU03607) を追加ベンダ情報：ヒューレット・パッカード・エンタープライズ (HPSBMU03590) を追加ベンダ情報：ヒューレット・パッカード・エンタープライズ (HPSBGN03569) を追加ベンダ情報：ヒューレット・パッカード・エンタープライズ (HPSBMU03593) を追加ベンダ情報：ヒューレット・パッカード・エンタープライズ (HPSBMU03601) を追加 [2016年08月29日] ベンダ情報：レッドハット (RHSA-2016:0722) を追加ベンダ情報：レッドハット (RHSA-2016:0996) を追加 [2016年10月27日] ベンダ情報：ヒューレット・パッカード・エンタープライズ (HPSBGN03587) を追加ベンダ情報：ヒューレット・パッカード・エンタープライズ (HPSBHF03592) を追加ベンダ情報：ヒューレット・パッカード・エンタープライズ (HPSBHF03594) を追加ベンダ情報：ヒューレット・パッカード・エンタープライズ (HPSBMU03575) を追加ベンダ情報：ヒューレット・パッカード・エンタープライズ (HPSBMU03600) を追加ベンダ情報：ヒューレット・パッカード・エンタープライズ (HPSBMU03611) を追加ベンダ情報：ヒューレット・パッカード・エンタープライズ (HPSBMU03612) を追加 [2021年02月26日] 参考情報：ICS-CERT ADVISORY (ICSA-21-054-03) を追加


公表日	2016/03/01
登録日	2016/03/08
最終更新日	2021/02/26

OpenSSL の crypto/bio/b_print.c の doapr_outch 関数における整数オーバーフローの脆弱性