Japan
サイト内の現在位置を表示しています。
OpenSSLクライアントにナルポインタ参照の脆弱性
掲載番号:NV15-006
脆弱性情報識別番号:JVNVU#93614707
概要
OpenSSL クライアントには、サーバとのネゴシエーションで SRP ciphersuite を指定していないにも
関わらず、サーバから SRP ciphersuite を指定した Server Hello メッセージが返ると、ナルポインタ
参照により異常終了する脆弱性が存在します。
攻撃者によってクライアントを異常終了され、その結果サービス運用妨害 (DoS) 攻撃を受ける可能性
があります。
対象製品
UNIVERGE PFシリーズ
影響の有無
影響あり
※但し、PFC(PF6800) と本装置 (PF5220/PF5240/PF5241/PF5248) との組み合わせにおいては、
本脆弱性の影響はありません。
※但し、PFC(PF6800) と本装置 (PF5220/PF5240/PF5241/PF5248) との組み合わせにおいては、
本脆弱性の影響はありません。
対象となる製品のバージョン
- PF5220:V6.0.0.0以前のソフトウェア全バージョン
- PF5240:V6.0.0.0以前のソフトウェア全バージョン
- PF5241:V6.0.0.0
- PF5248:V6.0.0.0以前のソフトウェア全バージョン
対処方法
[対策]
次のバージョンのソフトウェアで対応完了しています。
最新のバージョンにバージョンアップしてください。
- V6.0.1
ソフトウェアの入手につきましては、販売店またはお近くの弊社営業拠点にご相談ください。
対象となるバージョンを使用する場合、TLS機能の設定解除を行い、TCPでのSecureChannel接続を推奨いたします。
TLS機能からTCPへの変更を実施する場合、OFC側の設定解除も必要となります。
最新のバージョンにバージョンアップしてください。
- V6.0.1
ソフトウェアの入手につきましては、販売店またはお近くの弊社営業拠点にご相談ください。
対象となるバージョンを使用する場合、TLS機能の設定解除を行い、TCPでのSecureChannel接続を推奨いたします。
TLS機能からTCPへの変更を実施する場合、OFC側の設定解除も必要となります。
参考情報
Japan Vulnerability Notes JVNVU#93614707:
OpenSSL クライアントにナルポインタ参照の脆弱性
https://jvn.jp/vu/JVNVU93614707/
CVE-2014-5139:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-5139
OpenSSL クライアントにナルポインタ参照の脆弱性
https://jvn.jp/vu/JVNVU93614707/
CVE-2014-5139:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-5139
更新情報
- 2015/07/27