�y���p�K�C�h�z

JVNDB-2016-003304

OpenSSL �ɂ�����T�[�r�X�^�p�W�Q (DoS) �̐Ǝ㐫

�T�v

OpenSSL �́A�q�[�v�o�b�t�@�̋��E�`�F�b�N�Ƀ|�C���^���Z������Ďg�p���邽�߁A�T�[�r�X�^�p�W�Q (�����I�[�o�[�t���[����уA�v���P�[�V�����N���b�V��) ��Ԃɂ����ȂǁA�s����̉e�����󂯂�Ǝ㐫�����݂��܂��B

�⑫��� : CWE �ɂ��Ǝ㐫�^�C�v�́ACWE-190: Integer Overflow or Wraparound (�����I�[�o�[�t���[�܂��̓��b�v�A���E���h) �Ǝ��ʂ���Ă��܂��B
http://cwe.mitre.org/data/definitions/190.html
CVSS �ɂ��[���x (CVSS �Ƃ�?)

CVSS v3 �ɂ��[���x
��{�l: 9.8 (�ً}) [NVD�l]
  • �U�����敪: �l�b�g���[�N
  • �U�������̕��G��: ��
  • �U���ɕK�v�ȓ������x��: �s�v
  • ���p�҂̊֗^: �s�v
  • �e���̑z��͈�: �ύX�Ȃ�
  • �@�����ւ̉e��(C): ��
  • ���S���ւ̉e��(I): ��
  • �—p���ւ̉e��(A): ��
CVSS v2 �ɂ��[���x
��{�l: 7.5 (�댯) [NVD�l]
  • �U�����敪: �l�b�g���[�N
  • �U�������̕��G��: ��
  • �U���O�̔F�ؗv��: �s�v
  • �@�����ւ̉e��(C): �����I
  • ���S���ւ̉e��(I): �����I
  • �—p���ւ̉e��(A): �����I
�e�����󂯂�V�X�e��


OpenSSL Project
  • OpenSSL 1.0.2h �܂�
�I���N��
  • Oracle Linux 5
  • Oracle Linux 6
  • Oracle Linux 7
  • Oracle Solaris 10
  • Oracle Solaris 11.3
�q���[���b�g�E�p�b�J�[�h�E�G���^�[�v���C�Y
  • IceWall MCRP
  • IceWall SSO Dfw
  • IceWall SSO certd
  • IceWall SSO Agent Option
���{�d�C
  • CapsSuite V3.0 ���� V4.0
  • EnterpriseIdentityManager
  • ESMPRO/ServerAgent 4.4.22-1�ȍ~
  • ESMPRO/ServerAgentService �S�o�[�W���� (Linux��)
  • SecureWare/PKI�A�v���P�[�V�����J���L�b�g Ver3.2
  • WebOTX Application Server Enterprise V8.2 ���� V9.4
  • WebOTX Application Server Express V8.2 ���� V9.4
  • WebOTX Application Server Foundation V8.2 ���� V8.5
  • WebOTX Application Server Standard V8.2 ���� V9.4
  • WebOTX Enterprise Service Bus V8.2 ���� V8.5
  • WebOTX Portal V8.2 ���� V9.1
  • Express5800 SG3600�S�V���[�Y
  • IX1000�V���[�Y
  • IX2000�V���[�Y
  • IX3000�V���[�Y
����
  • Cosminexus Application Server Enterprise Version 6
  • Cosminexus Application Server Standard Version 6
  • Cosminexus Application Server Version 5
  • Cosminexus Developer Light Version 6
  • Cosminexus Developer Professional Version 6
  • Cosminexus Developer Standard Version 6
  • Cosminexus Developer Version 5
  • Cosminexus HTTP Server
  • Cosminexus Primary Server Base Version 6
  • Cosminexus Primary Server Version 6
  • Hitachi Web Server
  • Hitachi Web Server - Security Enhancement
  • uCosminexus Application Server Express
  • uCosminexus Application Server Standard-R
  • uCosminexus Application Server
  • uCosminexus Application Server -R
  • uCosminexus Application Server Enterprise
  • uCosminexus Application Server Smart Edition
  • uCosminexus Application Server Standard
  • uCosminexus Developer 01
  • uCosminexus Developer Professional
  • uCosminexus Developer Professional for Plug-in
  • uCosminexus Developer Light
  • uCosminexus Developer Standard
  • uCosminexus Primary Server Base
  • uCosminexus Service Architect
  • uCosminexus Service Platform
  • uCosminexus Service Platform - Messaging

�{�Ǝ㐫�̉e�����󂯂鐻�i�̏ڍׂɂ‚��ẮA�x���_�������m�F���������B
�z�肳���e��

��O�҂ɂ��A�\�����Ȃ� malloc �̓���𗘗p����邱�ƂŁA�T�[�r�X�^�p�W�Q (�����I�[�o�[�t���[����уA�v���P�[�V�����N���b�V��) ��Ԃɂ����ȂǁA�s����̉e�����󂯂�”\��������܂��B
�΍�

�x���_��萳���ȑ΍􂪌��J����Ă��܂��B�x���_�����Q�Ƃ��ēK�؂ȑ΍�����{���Ă��������B
�x���_���

IBM OpenSSL Project Splunk Tenable, Inc. �I���N�� �V�X�R�V�X�e���Y �W���j�p�[�l�b�g���[�N�X �p���X�Z�L���A �q���[���b�g�E�p�b�J�[�h�E�G���^�[�v���C�Y �u���[�R�[�g�V�X�e���Y
  • Security Advisories : SA132
�}�J�t�B�[
  • McAfee Security Bulletin : SB10165
���b�h�n�b�g ���{�d�C
  • NEC���i�Z�L�����e�B��� : NV17-001
����
  • Hitachi Software Vulnerability Information : hitachi-sec-2017-103
  • �\�t�g�E�F�A���i�Z�L�����e�B��� : HS16-023
  • �\�t�g�E�F�A���i�Z�L�����e�B��� : hitachi-sec-2017-103
CWE�ɂ��Ǝ㐫�^�C�v�ꗗ  CWE�Ƃ�?

  1. �����I�[�o�[�t���[�܂��̓��b�v�A���E���h(CWE-190) [NVD�]��]
���ʐƎ㐫���ʎq(CVE)  CVE�Ƃ�?

  1. CVE-2016-2177
�Q�l���

  1. JVN : JVNVU#98667810
  2. National Vulnerability Database (NVD) : CVE-2016-2177
  3. ICS-CERT ADVISORY : ICSA-18-144-01
  4. �֘A���� : BizMobile Go! �Ǝ㐫�Ή���
�X�V����

  • [2016�N06��22��]
      �f��
    [2016�N08��25��]
      CVSS �ɂ��[���x�F���e���X�V
    [2016�N09��14��]
      �e�����󂯂�V�X�e���F�x���_���̒lj��ɔ������e���X�V
      �x���_���F���� (HS16-023) ��lj�
    [2016�N10��07��]
      �x���_���FOpenSSL Project (OpenSSL 1.0.1 Series Release Notes) ��lj�
      �x���_���FOpenSSL Project (OpenSSL 1.0.2 Series Release Notes) ��lj�
      �x���_���F�V�X�R�V�X�e���Y (cisco-sa-20160927-openssl) ��lj�
      �Q�l���FJVN (JVNVU#98667810) ��lj�
    [2016�N11��17��]
      �e�����󂯂�V�X�e���F�x���_���̒lj��ɔ������e���X�V
      �x���_���F�I���N�� (Oracle Critical Patch Update Advisory - October 2016) ��lj�
      �x���_���F�I���N�� (Oracle Linux Bulletin - October 2016) ��lj�
      �x���_���F�I���N�� (Oracle Solaris Third Party Bulletin - April 2016) ��lj�
      �x���_���F�I���N�� (Oracle VM Server for x86 Bulletin - October 2016) ��lj�
      �x���_���F�q���[���b�g�E�p�b�J�[�h�E�G���^�[�v���C�Y (HPSBGN03658) ��lj�
      �Q�l���F�֘A���� (BizMobile Go! �Ǝ㐫�Ή���) ��lj�
    [2017�N02��21��]
      �e�����󂯂�V�X�e���F�x���_���̒lj��ɔ������e���X�V
      �x���_���F���{�d�C (NV17-001) ��lj�
      �x���_���F���� (hitachi-sec-2017-103) ��lj�
      �x���_���F�p���X�Z�L���A (SA40312) ��lj�
      �x���_���F�W���j�p�[�l�b�g���[�N�X (JSA10759) ��lj�
      �x���_���F�u���[�R�[�g�V�X�e���Y (SA132) ��lj�
      �x���_���F�}�J�t�B�[ (SB10165) ��lj�
      �x���_���FIBM (1995039) ��lj�
      �x���_���FTenable Network Security (TNS-2016-16) ��lj�
      �x���_���FSplunk (Splunk Enterprise 6.4.5 addresses multiple vulnerabilities) ��lj�
      �x���_���FSplunk (Splunk Enterprise 6.5.1 addresses multiple OpenSSL vulnerabilities) ��lj�
    [2017�N03��09��]
      �e�����󂯂�V�X�e���F�x���_���̍X�V�ɔ������e���X�V
    [2017�N07��25��]
      �e�����󂯂�V�X�e���F�x���_��� (NV17-001) �̍X�V�ɔ������e���X�V
    [2017�N10��03��]
      CVSS �ɂ��[���x�F���e���X�V
      �e�����󂯂�V�X�e���F���e���X�V
      CWE �ɂ��Ǝ㐫�^�C�v�ꗗ�F���e���X�V
  • [2019�N07��10��]
      �Q�l���FICS-CERT ADVISORY (ICSA-18-144-01) ��lj�

���\��2016/06/01
�o�^��2016/06/22
�ŏI�X�V��2019/07/10
OSZAR »