製品・ソフトウェアに関する情報
Vulnerability Search
OpenSSL の dtls1_process_out_of_seq_message 関数におけるサービス運用妨害 (DoS) の脆弱性
Title OpenSSL の dtls1_process_out_of_seq_message 関数におけるサービス運用妨害 (DoS) の脆弱性
Summary

OpenSSL の dtls1_process_out_of_seq_message 関数には、DTLS レコードの処理に不備があるため、サービス運用妨害 (DoS) 状態となる脆弱性が存在します。

Possible impacts 重複した、または現在のシーケンスナンバーよりはるかに大きいシーケンスナンバーを持つ DTLS レコードにより、サービス運用妨害 (DoS) 状態にされる可能性があります。
Solution

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date May 19, 2009, midnight
Registration Date Aug. 12, 2009, 10:56 a.m.
Last Update March 12, 2010, 2:44 p.m.
CVSS2.0 : 警告
Score 5
Vector AV:N/AC:L/Au:N/C:N/I:N/A:P
Affected System
レッドハット
Red Hat Enterprise Linux 5 (server)
Red Hat Enterprise Linux Desktop 5.0 (client)
RHEL Desktop Workstation 5 (client)
IBM
IBM AIX 5.2
IBM AIX 5.3
IBM AIX 6.1
OpenSSL Project
OpenSSL 0.9.8m 未満
サイバートラスト株式会社
Asianux Server 3 (x86)
Asianux Server 3 (x86-64)
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2009年08月12日]
  掲載
[2009年09月29日]
  影響を受けるシステム:ミラクル・リナックス (openssl-0.9.8e-12AXS3) の情報を追加
  影響を受けるシステム:レッドハット (RHSA-2009:1335) の情報を追加
  ベンダ情報:ミラクル・リナックス (openssl-0.9.8e-12AXS3) を追加
  ベンダ情報:レッドハット (RHSA-2009:1335) を追加
[2010年03月12日]
  影響を受けるシステム:OpenSSL Project (changelog) の情報を更新
  ベンダ情報:OpenSSL Project (changelog) を追加		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2009-1378
Summary

Multiple memory leaks in the dtls1_process_out_of_seq_message function in ssl/d1_both.c in OpenSSL 0.9.8k and earlier 0.9.8 versions allow remote attackers to cause a denial of service (memory consumption) via DTLS records that (1) are duplicates or (2) have sequence numbers much greater than current sequence numbers, aka "DTLS fragment handling memory leak."

Publication Date May 20, 2009, 4:30 a.m.
Registration Date Jan. 29, 2021, 1:17 p.m.
Last Update Feb. 8, 2024, 3:02 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:openssl:openssl:*:*:*:*:*:*:*:* 0.9.8 0.9.8m
Configuration2 or higher or less more than less than
cpe:2.3:o:canonical:ubuntu_linux:9.04:*:*:*:*:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:8.10:*:*:*:*:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:8.04:*:*:*:-:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:6.06:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List