Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

OpenSSLクライアントにナルポインタ参照の脆弱性

掲載番号:NV15-006
脆弱性情報識別番号:JVNVU#93614707

概要


OpenSSL クライアントには、サーバとのネゴシエーションで SRP ciphersuite を指定していないにも
関わらず、サーバから SRP ciphersuite を指定した Server Hello メッセージが返ると、ナルポインタ
参照により異常終了する脆弱性が存在します。
攻撃者によってクライアントを異常終了され、その結果サービス運用妨害 (DoS) 攻撃を受ける可能性
があります。

対象製品

UNIVERGE PFシリーズ

影響の有無

影響あり

※但し、PFC(PF6800) と本装置 (PF5220/PF5240/PF5241/PF5248) との組み合わせにおいては、
本脆弱性の影響はありません。

対象となる製品のバージョン

  • PF5220:V6.0.0.0以前のソフトウェア全バージョン
  • PF5240:V6.0.0.0以前のソフトウェア全バージョン
  • PF5241:V6.0.0.0
  • PF5248:V6.0.0.0以前のソフトウェア全バージョン

対処方法

[対策]
次のバージョンのソフトウェアで対応完了しています。
最新のバージョンにバージョンアップしてください。

- V6.0.1

ソフトウェアの入手につきましては、販売店またはお近くの弊社営業拠点にご相談ください。

対象となるバージョンを使用する場合、TLS機能の設定解除を行い、TCPでのSecureChannel接続を推奨いたします。
TLS機能からTCPへの変更を実施する場合、OFC側の設定解除も必要となります。

参考情報

Japan Vulnerability Notes JVNVU#93614707:
OpenSSL クライアントにナルポインタ参照の脆弱性
https://jvn.jp/vu/JVNVU93614707/

CVE-2014-5139:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-5139

更新情報

2015/07/27
UNIVERGE PFシリーズを登録しました。