| Title | NTP における証明書チェーンの有効性を回避される脆弱性 |
|---|---|
| Summary | NTP には、OpenSSL の EVP_VerifyFinal 関数からの戻り値が正しくチェックされないため、証明書チェーンの有効性を回避される脆弱性が存在します。 本脆弱性は、CVE-2008-5077 に類似する脆弱性です。 |
| Possible impacts | リモートの攻撃者により、DSA および ECDSA 鍵用の不正な SSL/TLS 署名を介して、証明書チェーンの有効性を回避される可能性があります。 |
| Solution | ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| Publication Date | Jan. 7, 2009, midnight |
| Registration Date | July 8, 2009, 11:14 a.m. |
| Last Update | March 27, 2012, 11:01 a.m. |
| CVSS2.0 : 警告 | |
| Score | 5 |
|---|---|
| Vector | AV:N/AC:L/Au:N/C:P/I:N/A:N |
| レッドハット |
| Red Hat Enterprise Linux 4 (as) |
| Red Hat Enterprise Linux 4 (es) |
| Red Hat Enterprise Linux 4 (ws) |
| Red Hat Enterprise Linux 4.7 (as) |
| Red Hat Enterprise Linux 4.7 (es) |
| Red Hat Enterprise Linux 5 (server) |
| Red Hat Enterprise Linux Desktop 4.0 |
| Red Hat Enterprise Linux Desktop 5.0 (client) |
| Red Hat Enterprise Linux EUS 5.3.z (server) |
| Red Hat Enterprise Linux Long Life (v. 5.3 server) |
| NTP Project |
| NTP 4.2.4 - 4.2.4p5 未満 |
| NTP 4.2.5 - 4.2.5p150 未満 |
| オラクル |
| Netra SPARC T3-1 |
| Netra SPARC T3-1B |
| Netra SPARC T3-1BA |
| SPARC T3-1 |
| SPARC T3-1B |
| SPARC T3-2 |
| SPARC T3-4 |
| サイバートラスト株式会社 |
| Asianux Server 3 (x86) |
| Asianux Server 3 (x86-64) |
| Asianux Server 4.0 |
| Asianux Server 4.0 (x86-64) |
| アップル |
| Apple Mac OS X v10.4.11 |
| Apple Mac OS X v10.5 から v10.5.6 |
| Apple Mac OS X Server v10.4.11 |
| Apple Mac OS X Server v10.5 から v10.5.6 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2009年07月08日] 掲載 [2011年12月26日] 影響を受けるシステム:オラクル (multiple_vulnerabilities_in_network_time) の情報を追加 影響を受けるシステム:レッドハット (RHSA-2009:0046) の情報を追加 ベンダ情報:オラクル (multiple_vulnerabilities_in_network_time) を追加 ベンダ情報:レッドハット (RHSA-2009:0046) を追加 [2012年03月27日] 影響を受けるシステム:オラクル (multiple_vulnerabilities_in_network_time) の情報を更新 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | NTP 4.2.4 before 4.2.4p5 and 4.2.5 before 4.2.5p150 does not properly check the return value from the OpenSSL EVP_VerifyFinal function, which allows remote attackers to bypass validation of the certificate chain via a malformed SSL/TLS signature for DSA and ECDSA keys, a similar vulnerability to CVE-2008-5077. |
|---|---|
| Summary | NTP versiones 4.2.4 anteriores a 4.2.4p5 y versiones 4.2.5 anteriores a 4.2.5p150, no comprueba apropiadamente el valor devuelto de la función EVP_VerifyFinal de OpenSSL, que permite a los atacantes remotos omitir la comprobación de la cadena de certificados por medio de una firma de SSL/TLS malformada para las claves DSA y ECDSA, una vulnerabilidad similar a CVE-2008-5077. |
| Publication Date | Jan. 8, 2009, 2:30 a.m. |
| Registration Date | Jan. 29, 2021, 1:13 p.m. |
| Last Update | April 23, 2026, 9:35 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:ntp:ntp:*:*:*:*:*:*:*:* | 4.2.4p4 | ||||
| cpe:2.3:a:ntp:ntp:4.2.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:ntp:ntp:4.2.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:ntp:ntp:4.2.4p1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:ntp:ntp:4.2.4p2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:ntp:ntp:4.2.4p3:*:*:*:*:*:*:* | |||||