JVNDB-2016-002354

JVNDB-2016-002354
複数の EMC RSA BSAFE 製品における秘密鍵の prime を取得される脆弱性
概要
複数の EMC RSA BSAFE 製品には、秘密鍵の prime を取得される脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)
CVSS v3 による深刻度基本値: 5.9 (警告) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃に必要な特権レベル: 不要利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): 高完全性への影響(I): なし可用性への影響(A): なし CVSS v2 による深刻度基本値: 2.6 (注意) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃前の認証要否: 不要機密性への影響(C): 部分的完全性への影響(I): なし可用性への影響(A): なし
影響を受けるシステム

DELL EMC (旧 EMC Corporation) RSA BSAFE Micro Edition Suite (MES) 4.1.5 未満の 4.1.x RSA BSAFE Micro Edition Suite (MES) 4.0.x RSA BSAFE Crypto-C Micro Edition (CCME) 4.0.x RSA BSAFE Crypto-C Micro Edition (CCME) 4.1.3 未満の 4.1.x RSA BSAFE Crypto-J 6.2.1 未満 RSA BSAFE SSL-C 2.8.9 未満 RSA BSAFE SSL-J 6.2.1 未満日立 Cosminexus Developer's Kit for Java(TM) Cosminexus HTTP Server Hitachi Application Server Hitachi Application Server for Developers Hitachi Web Server uCosminexus Application Server -R uCosminexus Application Server uCosminexus Application Server (64) uCosminexus Application Server Express uCosminexus Application Server Enterprise uCosminexus Application Server Smart Edition uCosminexus Application Server Standard uCosminexus Application Server Standard -R uCosminexus Client uCosminexus Developer uCosminexus Developer 01 uCosminexus Developer Professional uCosminexus Developer Professional for Plug-in uCosminexus Developer Light uCosminexus Developer Standard uCosminexus Operator for Service Platform uCosminexus Primary Server Base uCosminexus Primary Server Base(64) uCosminexus Service Architect uCosminexus Service Platform uCosminexus Service Platform (64) uCosminexus Service Platform - Messaging
本脆弱性の影響を受ける製品の詳細については、ベンダ情報をご確認ください。
想定される影響
第三者により、TLS セッション中に RSA 署名の失敗を検出するアプリケーションの失敗 (application's failure) を利用する Lenstra サイドチャネル攻撃を実行されることで、秘密鍵の prime を取得される可能性があります。
対策
ベンダ情報および参考情報を参照して適切な対策を実施してください。
ベンダ情報
DELL EMC (旧 EMC Corporation) EMC Corporation : RSA BSAFE Micro Edition Suite EMC Corporation : RSA BSAFE Crypto-C Micro Edition EMC Corporation : RSA BSAFE Crypto-J EMC Corporation : RSA BSAFE SSL-J EMC Corporation : RSA BSAFE SSL-C 日立 Hitachi Software Vulnerability Information : hitachi-sec-2017-108 ソフトウェア製品セキュリティ情報 : HS16-024 ソフトウェア製品セキュリティ情報 : hitachi-sec-2017-108
CWEによる脆弱性タイプ一覧 CWEとは?
情報漏えい(CWE-200) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2016-0887
参考情報
National Vulnerability Database (NVD) : CVE-2016-0887 関連文書 : ESA-2016-013: RSA BSAFER Micro Edition Suite, Crypto-C Micro Edition, Crypto-J, SSL-J and SSL-C Lenstra’s Attack Vulnerability
更新履歴
[2016年05月02日] 掲載 [2016年05月31日] CVSS による深刻度：内容を更新 CWE による脆弱性タイプ一覧：CWE-ID を追加 [2016年09月14日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：日立 (HS16-024) を追加 [2017年02月20日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：日立 (hitachi-sec-2017-108) を追加


公表日	2016/04/11
登録日	2016/05/02
最終更新日	2017/02/20

複数の EMC RSA BSAFE 製品における秘密鍵の prime を取得される脆弱性