| Title | OpenSSL の heartbeat 拡張に情報漏えいの脆弱性 |
|---|---|
| Summary | OpenSSL の heartbeat 拡張の実装には、情報漏えいの脆弱性が存在します。TLS や DTLS 通信において OpenSSL のコードを実行しているプロセスのメモリ内容が通信相手に漏えいする可能性があります。 |
| Possible impacts | 遠隔の第三者によって、秘密鍵などの重要な情報を取得される可能性があります。 |
| Solution | [アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 |
| Publication Date | April 7, 2014, midnight |
| Registration Date | April 8, 2014, 4:13 p.m. |
| Last Update | Dec. 22, 2015, 3:48 p.m. |
| CVSS2.0 : 警告 | |
| Score | 5 |
|---|---|
| Vector | AV:N/AC:L/Au:N/C:P/I:N/A:N |
| ヒューレット・パッカード |
| HP TippingPoint NGFW 1.0.1 |
| HP TippingPoint NGFW 1.0.2 |
| HP TippingPoint NGFW 1.0.3 |
| HP TippingPoint NGFW 1.1.0_4127 |
| OpenSSL Project |
| OpenSSL 1.0.1 から 1.0.1f まで |
| サイバートラスト株式会社 |
| Asianux Server 4 for x86 |
| Asianux Server 4 for x86_64 |
| サイボウズ |
| サイボウズ Office 10.1.0 未満 |
| サイボウズ メールワイズ 5.1.4 未満 |
| FreeBSD |
| FreeBSD 10.0 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2014年04月08日] 掲載 [2014年04月09日] CWE による脆弱性タイプ一覧:CWE-ID を追加 参考情報:IPA セキュリティセンター 注意喚起 (OpenSSL の脆弱性対策について(CVE-2014-0160)) を追加 参考情報:JPCERT 注意喚起 (JPCERT-AT-2014-0013) を追加 [2014年04月10日] 参考情報:US-CERT Technical Cyber Security Alert (TA14-098A) を追加 参考情報:ICS-CERT ALERT (ICS-ALERT-14-099-01) を追加 参考情報:関連文書 (NCSC-FI - FICORA #788210:NCSC-FI Advisory on OpenSSL) を追加 [2014年04月11日] 参考情報:OpenSSL の脆弱性対策について(CVE-2014-0160) を更新 [2014年04月14日] CVSS による深刻度:内容を更新 参考情報:警察庁 @police (OpenSSL の脆弱性を標的としたアクセスの増加について) を追加 [2014年04月15日] 参考情報:ICS-CERT ALERT (ICS-ALERT-14-099-01B) を追加 [2014年04月23日] 影響を受けるシステム:ミラクル・リナックス (ミラクル・リナックス株式会社 の告知ページ) の情報を追加 影響を受けるシステム:FreeBSD (OpenSSL multiple vulnerabilities) の情報を追加 影響を受けるシステム:オラクル (OpenSSL Security Bug - Heartbleed / CVE-2014-0160) の情報を追加 影響を受けるシステム:IBM (1670161) の情報を追加 ベンダ情報:トレンドマイクロ (アラート/アドバイザリ: OpenSSL Heartbleed の脆弱性(CVE-2014-0160)について) を追加 ベンダ情報:ミラクル・リナックス (ミラクル・リナックス株式会社 の告知ページ) を追加 ベンダ情報:日立 (HIRT-PUB14005:日立製品における OpenSSL 情報漏えいを許してしまう脆弱性(CVE-2014-0160) への対応について) を追加 ベンダ情報:マイクロソフト (日本マイクロソフト株式会社 の告知ページ) を追加 ベンダ情報:インターネットイニシアティブ (株式会社インターネットイニシアティブ の告知ページ) を追加 ベンダ情報:FreeBSD (OpenSSL multiple vulnerabilities) を追加 ベンダ情報:オラクル (OpenSSL Security Bug - Heartbleed / CVE-2014-0160) を追加 ベンダ情報:IBM (1670161) を追加 ベンダ情報:BlackBerry (BlackBerry response to OpenSSL “Heartbleed” vulnerability) を追加 ベンダ情報:Splunk (Splunk 6.0.3 addresses two vulnerabilities - April 10, 2014) を追加 [2014年04月24日] 影響を受けるシステム:内容を更新 ベンダ情報:レッドハット (Bug 1084875) を追加 ベンダ情報:レッドハット (RHSA-2014:0377) を追加 ベンダ情報:レッドハット (RHSA-2014:0378) を追加 ベンダ情報:レッドハット (RHSA-2014:0376) を追加 ベンダ情報:レッドハット (RHSA-2014:0396) を追加 ベンダ情報:シスコシステムズ (cisco-sa-20140409-heartbleed) を追加 [2014年04月25日] ベンダ情報:富士通 (TA14-098A) を追加 [2014年05月08日] 影響を受けるシステム:内容を更新 ベンダ情報:Apache Software Foundation (Apache Tomcat - Apache Tomcat APR/native Connector vulnerabilities) を追加 ベンダ情報:Apache Software Foundation (Security/Heartbleed - Tomcat Wiki) を追加 ベンダ情報:アライドテレシス (アライドテレシス株式会社からの情報) を追加 ベンダ情報:エフ・セキュア (FSC-2014-1: Notice on OpenSSL 'Heartbleed' Vulnerability) を追加 ベンダ情報:ヒューレット・パッカード (HPSBMU02995 SSRT101499) を追加 ベンダ情報:日本電気 (AV14-001) を追加 ベンダ情報:Opscode (Enterprise Chef 11.1.3 Release) を追加 ベンダ情報:Opscode (Enterprise Chef 1.4.9 Release) を追加 ベンダ情報:Opscode (Chef Server Heartbleed (CVE-2014-0160) Releases) を追加 ベンダ情報:Opscode (Chef Server 11.0.12 Release) を追加 参考情報:ICS-CERT ADVISORY (ICSA-14-105-03) を追加 参考情報:ICS-CERT ADVISORY (ICSA-14-105-02) を追加 参考情報:ICS-CERT ADVISORY (ICSA-14-114-01) を追加 参考情報:ICS-CERT ADVISORY (ICSA-14-126-01) を追加 参考情報:ICS-CERT ALERT (ICS-ALERT-14-099-01) を更新 参考情報:関連文書 (Issue 85: CVE-2014-0160 fix needed) を追加 参考情報:関連文書 (ビー・ユー・ジー森精機株式会社 の告知ページ) を追加 [2014年05月12日] ベンダ情報:富士通 (Systemwalker Desktop Patrol: OpenSSL の heartbeat 拡張に情報漏えいの脆弱性(CVE-2014-0160) (2014年5月8日)) を追加 参考情報:ICS-CERT ADVISORY (ICSA-14-128-01) を追加 [2014年05月20日] 参考情報:ICS-CERT ADVISORY (ICSA-14-135-02) を追加 参考情報:ICS-CERT ADVISORY (ICSA-14-135-04) を追加 参考情報:ICS-CERT ADVISORY (ICSA-14-135-05) を追加 [2014年05月27日] ベンダ情報:Cogent Real-Time Systems Inc. (Release Notes5) を追加 [2014年05月30日] 影響を受けるシステム:内容を更新 ベンダ情報:IBM (OpenSSL Heartbleed (CVE-2014-0160)) を追加 [2014年06月02日] ベンダ情報:オラクル (Oracle Security Alert for CVE-2014-0160) を追加 [2014年06月09日] ベンダ情報:ヒューレット・パッカード (HPSBMU03009 SSRT101520) を追加 ベンダ情報:ヒューレット・パッカード (HPSBMU03022 SSRT101527) を追加 ベンダ情報:ヒューレット・パッカード (HPSBMU03024 SSRT101538) を追加 ベンダ情報:ヒューレット・パッカード (HPSBMU03033 SSRT101550) を追加 参考情報:関連文書 (株式会社アラタナ の告知ページ) を追加 [2014年07月14日] ベンダ情報:Kerio Technologies (Kerio Control Release History) を追加 ベンダ情報:Unisys (UIS-2014-1) を追加 ベンダ情報:Unisys (UIS-2014-3) を追加 [2014年07月25日] 影響を受けるシステム:ベンダ情報の追加に伴い内容を更新 ベンダ情報:IBM (00001841) を追加 ベンダ情報:IBM (00001843) を追加 ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2014) を追加 ベンダ情報:ヒューレット・パッカード (HPSBST03000 SSRT101513) を追加 参考情報:関連文書 (MGASA-2014-0165) を追加 [2014年08月07日] ベンダ情報:IBM (1672507) を追加 ベンダ情報:FileZilla (Version history) を追加 [2014年08月11日] ベンダ情報:オラクル (Multiple vulnerabilities in OpenSSL) を追加 [2014年11月20日] ベンダ情報:F5 Networks (SOL15159: OpenSSL vulnerability CVE-2014-0160) を追加 [2014年11月28日] 影響を受けるシステム:ベンダ情報の追加に伴い内容を更新 ベンダ情報:ヒューレット・パッカード (HPSBHF03136 SSRT101726) を追加 [2015年03月18日] 影響を受けるシステム:ベンダ情報の追加に伴い内容を更新 ベンダ情報:サイボウズ (OpenSSLの脆弱性に伴う弊社製品への影響について) を追加 [2015年05月11日] ベンダ情報:VMware (VMSA-2014-0012) を追加 ベンダ情報:ウェブセンス (Vulnerabilities resolved in TRITON APX Version 8.0 ) を追加 ベンダ情報:ヒューレット・パッカード (HPSBHF03293 SSRT101846 ) を追加 参考情報:JVN (JVNTA#99041988) を追加 参考情報:US-CERT Technical Cyber Security Alert (TA15-119A) を追加 [2015年12月22日] 参考情報:ICS-CERT ADVISORY (ICSA-15-344-01) を追加 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | The (1) TLS and (2) DTLS implementations in OpenSSL 1.0.1 before 1.0.1g do not properly handle Heartbeat Extension packets, which allows remote attackers to obtain sensitive information from process memory via crafted packets that trigger a buffer over-read, as demonstrated by reading private keys, related to d1_both.c and t1_lib.c, aka the Heartbleed bug. |
|---|---|
| Publication Date | April 8, 2014, 7:55 a.m. |
| Registration Date | Jan. 26, 2021, 3:04 p.m. |
| Last Update | Nov. 21, 2024, 11:01 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:openssl:openssl:*:*:*:*:*:*:*:* | 1.0.1 | 1.0.1g | |||
| Configuration2 | or higher | or less | more than | less than | |
| cpe:2.3:a:filezilla-project:filezilla_server:*:*:*:*:*:*:*:* | 0.9.44 | ||||
| Configuration3 | or higher | or less | more than | less than | |
| cpe:2.3:o:siemens:application_processing_engine_firmware:2.0:*:*:*:*:*:*:* | |||||
| execution environment | |||||
| 1 | cpe:2.3:h:siemens:application_processing_engine:-:*:*:*:*:*:*:* | ||||
| Configuration4 | or higher | or less | more than | less than | |
| cpe:2.3:o:siemens:cp_1543-1_firmware:1.1:*:*:*:*:*:*:* | |||||
| execution environment | |||||
| 1 | cpe:2.3:h:siemens:cp_1543-1:-:*:*:*:*:*:*:* | ||||
| Configuration5 | or higher | or less | more than | less than | |
| cpe:2.3:o:siemens:simatic_s7-1500_firmware:1.5:*:*:*:*:*:*:* | |||||
| execution environment | |||||
| 1 | cpe:2.3:h:siemens:simatic_s7-1500:-:*:*:*:*:*:*:* | ||||
| Configuration6 | or higher | or less | more than | less than | |
| cpe:2.3:o:siemens:simatic_s7-1500t_firmware:1.5:*:*:*:*:*:*:* | |||||
| execution environment | |||||
| 1 | cpe:2.3:h:siemens:simatic_s7-1500t:-:*:*:*:*:*:*:* | ||||
| Configuration7 | or higher | or less | more than | less than | |
| cpe:2.3:a:siemens:elan-8.2:*:*:*:*:*:*:*:* | 8.3.3 | ||||
| cpe:2.3:a:siemens:wincc_open_architecture:3.12:*:*:*:*:*:*:* | |||||
| Configuration8 | or higher | or less | more than | less than | |
| cpe:2.3:o:intellian:v100_firmware:1.20:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:intellian:v100_firmware:1.21:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:intellian:v100_firmware:1.24:*:*:*:*:*:*:* | |||||
| execution environment | |||||
| 1 | cpe:2.3:h:intellian:v100:-:*:*:*:*:*:*:* | ||||
| Configuration9 | or higher | or less | more than | less than | |
| cpe:2.3:o:intellian:v60_firmware:1.15:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:intellian:v60_firmware:1.25:*:*:*:*:*:*:* | |||||
| execution environment | |||||
| 1 | cpe:2.3:h:intellian:v60:-:*:*:*:*:*:*:* | ||||
| Configuration10 | or higher | or less | more than | less than | |
| cpe:2.3:a:mitel:micollab:6.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:mitel:micollab:7.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:mitel:micollab:7.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:mitel:micollab:7.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:mitel:micollab:7.3.0.104:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:mitel:micollab:7.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:mitel:mivoice:1.1.3.3:*:*:*:*:skype_for_business:*:* | |||||
| cpe:2.3:a:mitel:mivoice:1.2.0.11:*:*:*:*:skype_for_business:*:* | |||||
| cpe:2.3:a:mitel:mivoice:1.3.2.2:*:*:*:*:skype_for_business:*:* | |||||
| cpe:2.3:a:mitel:mivoice:1.4.0.102:*:*:*:*:skype_for_business:*:* | |||||
| cpe:2.3:a:mitel:mivoice:1.1.2.5:*:*:*:*:lync:*:* | |||||
| Configuration11 | or higher | or less | more than | less than | |
| cpe:2.3:o:opensuse:opensuse:12.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:opensuse:opensuse:13.1:*:*:*:*:*:*:* | |||||
| Configuration12 | or higher | or less | more than | less than | |
| cpe:2.3:o:canonical:ubuntu_linux:13.10:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:canonical:ubuntu_linux:12.10:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:canonical:ubuntu_linux:12.04:*:*:*:esm:*:*:* | |||||
| Configuration13 | or higher | or less | more than | less than | |
| cpe:2.3:o:fedoraproject:fedora:20:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:fedoraproject:fedora:19:*:*:*:*:*:*:* | |||||
| Configuration14 | or higher | or less | more than | less than | |
| cpe:2.3:o:redhat:enterprise_linux_server_eus:6.5:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:storage:2.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_server_aus:6.5:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_server_tus:6.5:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_server:6.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_workstation:6.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:gluster_storage:2.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:virtualization:6.0:*:*:*:*:*:*:* | |||||
| Configuration15 | or higher | or less | more than | less than | |
| cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:debian:debian_linux:7.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:debian:debian_linux:6.0:*:*:*:*:*:*:* | |||||
| Configuration16 | or higher | or less | more than | less than | |
| cpe:2.3:o:ricon:s9922l_firmware:16.10.3\(3794\):*:*:*:*:*:*:* | |||||
| execution environment | |||||
| 1 | cpe:2.3:h:ricon:s9922l:1.0:*:*:*:*:*:*:* | ||||
| Configuration17 | or higher | or less | more than | less than | |
| cpe:2.3:a:broadcom:symantec_messaging_gateway:10.6.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:broadcom:symantec_messaging_gateway:10.6.1:*:*:*:*:*:*:* | |||||
| Configuration18 | or higher | or less | more than | less than | |
| cpe:2.3:a:splunk:splunk:*:*:*:*:enterprise:*:*:* | 6.0.0 | 6.0.3 | |||