製品・ソフトウェアに関する情報

JVN脆弱性詳細

OpenSSL の ephemeral ECDH ciphersuite におけるサービス運用妨害 (アプリケーションクラッシュ) の脆弱性

Title	OpenSSL の ephemeral ECDH ciphersuite におけるサービス運用妨害 (アプリケーションクラッシュ) の脆弱性
Summary	OpenSSL の ephemeral ECDH ciphersuite は、ハンドシェイクメッセージを処理している間、スレッドの安全性を確認しないため、サービス運用妨害 (アプリケーションクラッシュ) 状態となる脆弱性が存在します。
Possible impacts	第三者により、TLS プロトコルに違反する out-of-order メッセージを介して、サービス運用妨害 (アプリケーションクラッシュ) 状態にされる可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Sept. 6, 2011, midnight
Registration Date	Sept. 28, 2011, 3:12 p.m.
Last Update	June 7, 2013, 11:07 a.m.

Affected System

OpenSSL Project

OpenSSL 0.9.8 through 0.9.8s

OpenSSL 1.0.0e 未満の 1.0.x

アップル

Apple Mac OS X 10.6.8

Apple Mac OS X v10.7 から v10.7.5

Apple Mac OS X v10.8 から v10.8.3

Apple Mac OS X Server 10.6.8

Apple Mac OS X Server v10.7 から v10.7.5

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2011-3210	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3210
National Vulnerability Database (NVD)
2	CVE-2011-3210	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-3210

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-399	https://jvndb.jvn.jp/ja/cwe/CWE-399.html

ベンダー情報

No	Name	URL
Apple Mailing Lists
1	APPLE-SA-2013-06-04-1	http://lists.apple.com/archives/security-announce/2013/Jun/msg00000.html
Apple Security Updates
2	HT5784	http://support.apple.com/kb/HT5784
Apple セキュリティアップデート
3	HT5784	http://support.apple.com/kb/HT5784?viewlocale=ja_JP
OpenSSL
4	21337	http://cvs.openssl.org/chngview?cn=21337
OpenSSL Security Advisory
5	secadv_20110906	http://openssl.org/news/secadv_20110906.txt

その他

No	Name	URL
JVN
1	JVNVU#92046435	http://jvn.jp/cert/JVNVU92046435/index.html

Change Log

No	Changed Details	Date of change
0	[2011年09月28日] 掲載 [2013年06月07日] 影響を受けるシステム：アップル (HT5784) の情報を追加ベンダ情報：アップル (HT5784) を追加ベンダ情報：アップル (APPLE-SA-2013-06-04-1) を追加	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2011-3210

Summary	The ephemeral ECDH ciphersuite functionality in OpenSSL 0.9.8 through 0.9.8r and 1.0.x before 1.0.0e does not ensure thread safety during processing of handshake messages from clients, which allows remote attackers to cause a denial of service (daemon crash) via out-of-order messages that violate the TLS protocol.
Publication Date	Sept. 22, 2011, 7:55 p.m.
Registration Date	Jan. 28, 2021, 4:39 p.m.
Last Update	Nov. 21, 2024, 10:29 a.m.

Affected software configurations

Related information, measures and tools

No	URL	タグ
1	http://cvs.openssl.org/chngview?cn=21337	Patch
2	http://lists.apple.com/archives/security-announce/2013/Jun/msg00000.html
3	http://marc.info/?l=bugtraq&m=132750648501816&w=2
4	http://marc.info/?l=bugtraq&m=132750648501816&w=2
5	http://marc.info/?l=bugtraq&m=133226187115472&w=2
6	http://marc.info/?l=bugtraq&m=133226187115472&w=2
7	http://openssl.org/news/secadv_20110906.txt	Vendor Advisory
8	http://secunia.com/advisories/57353
9	http://support.apple.com/kb/HT5784
10	http://www.mandriva.com/security/advisories?name=MDVSA-2011:137
11	http://www.securitytracker.com/id?1026012
12	http://www-01.ibm.com/support/docview.wss?uid=ssg1S1004564
13	https://bugzilla.redhat.com/show_bug.cgi?id=736079
14	http://cvs.openssl.org/chngview?cn=21337	Patch
15	https://bugzilla.redhat.com/show_bug.cgi?id=736079
16	http://www-01.ibm.com/support/docview.wss?uid=ssg1S1004564
17	http://www.securitytracker.com/id?1026012
18	http://www.mandriva.com/security/advisories?name=MDVSA-2011:137
19	http://support.apple.com/kb/HT5784
20	http://secunia.com/advisories/57353
21	http://openssl.org/news/secadv_20110906.txt	Vendor Advisory
22	http://marc.info/?l=bugtraq&m=133226187115472&w=2
23	http://marc.info/?l=bugtraq&m=133226187115472&w=2
24	http://marc.info/?l=bugtraq&m=132750648501816&w=2
25	http://marc.info/?l=bugtraq&m=132750648501816&w=2
26	http://lists.apple.com/archives/security-announce/2013/Jun/msg00000.html

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-399	リソース管理の問題	https://cwe.mitre.org/data/definitions/399.html