製品・ソフトウェアに関する情報
Vulnerability Search
OpenSSL の s23_srvr.c の ssl23_get_client_hello 関数におけるサービス運用妨害 (DoS) の脆弱性
Title OpenSSL の s23_srvr.c の ssl23_get_client_hello 関数におけるサービス運用妨害 (DoS) の脆弱性
Summary

OpenSSL の s23_srvr.c の ssl23_get_client_hello 関数は、サポートされていないプロトコルを使用するという試行を適切に処理しないため、サービス運用妨害 (NULL ポインタデリファレンスおよびデーモンクラッシュ) 状態にされる脆弱性が存在します。 本脆弱性は、CVE-2014-3568 の修正後に問題となったものです。 補足情報 : CWE による脆弱性タイプは、CWE-476: NULL Pointer Dereference (NULL ポインタデリファレンス) と識別されています。 http://cwe.mitre.org/data/definitions/476.html

Possible impacts 第三者により、予期せぬハンドシェイクを介して、サービス運用妨害 (NULL ポインタデリファレンスおよびデーモンクラッシュ) 状態にされる可能性があります。
Solution

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date Oct. 27, 2014, midnight
Registration Date Dec. 25, 2014, 2:26 p.m.
Last Update Oct. 7, 2016, 11:49 a.m.
CVSS2.0 : 警告
Score 5
Vector AV:N/AC:L/Au:N/C:N/I:N/A:P
Affected System
ヒューレット・パッカード
HP ThinPro Linux (ARM) 4.1
HP ThinPro Linux (ARM) 4.2
HP ThinPro Linux (ARM) 4.3
HP ThinPro Linux (ARM) 4.4
HP ThinPro Linux (x86) 4.1
HP ThinPro Linux (x86) 4.2
HP ThinPro Linux (x86) 4.3
HP ThinPro Linux (x86) 4.4
HP ThinPro Linux (x86) 5.0
HP ThinPro Linux (x86) 5.1
オラクル
Integrated Lights Out Manager (Sun System Firmware) 8.7.2.b 未満
Integrated Lights Out Manager (Sun System Firmware) 9.4.2e 未満
MySQL 5.6.22 およびそれ以前
Oracle Communications Core Session Manager 7.2.5
Oracle Communications Core Session Manager 7.3.5
Oracle Fusion Middleware の Oracle Mobile Security Suite MSS 3.0
Oracle Solaris 10
Oracle Solaris 11.2
Oracle Virtualization の Oracle Secure Global Desktop 4.63
Oracle Virtualization の Oracle Secure Global Desktop 4.71
Oracle Virtualization の Oracle Secure Global Desktop 5.1
OpenSSL Project
OpenSSL 0.9.8zc
OpenSSL 1.0.0o
OpenSSL 1.0.1j
アップル
Apple Mac OS X 10.10 から 10.10.2
Apple Mac OS X 10.8.5
Apple Mac OS X 10.9.5
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2014年12月25日]
  掲載
[2015年01月14日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:OpenSSL Project (no-ssl3 configuration sets method to NULL (CVE-2014-3569)) を追加
  参考情報:JVN (JVNVU#98974537) を追加
[2015年02月27日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Third Party Bulletin - January 2015) を追加
[2015年03月19日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:シスコシステムズ (cisco-sa-20150310-ssl) を追加
  ベンダ情報:OpenSSL Project (#3571: Re: [PATCH] Segfault in 1.0.1j BIO_reset() compiled with no-ssl2 no-ssl3) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBUX03244 SSRT101885) を追加
[2015年03月26日]
  ベンダ情報:ターボリナックス (TLSA-2015-2) を追加
[2015年04月10日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:アップル (HT204659) を追加
  ベンダ情報:アップル (APPLE-SA-2015-04-08-2 OS X 10.10.3 and Security Update 2015-004) を追加
  参考情報:JVN (JVNVU#91828320) を追加
[2015年04月17日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - April 2015) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - April 2015 Risk Matrices) を追加
  ベンダ情報:オラクル (April 2015 Critical Patch Update Released) を追加
[2015年06月22日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:ヒューレット・パッカード (HPSBHF03289) を追加
[2015年06月26日]
  ベンダ情報:バッファロー (株式会社バッファロー の告知ページ) を追加
[2015年07月29日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2015) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - July 2015 Risk Matrices) を追加
  ベンダ情報:オラクル (July 2015 Critical Patch Update Released) を追加
[2015年10月27日]
  ベンダ情報:日本電気 (NV15-017) を追加
[2015年11月06日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - October 2015) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - October 2015 Risk Matrices) を追加
  ベンダ情報:オラクル (October 2015 Critical Patch Update Released) を追加
[2016年08月09日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2016) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - July 2016 Risk Matrices) を追加
  ベンダ情報:オラクル (July 2016 Critical Patch Update Released) を追加
[2016年10月07日]
  ベンダ情報:ヒューレット・パッカード (HPSBMU03413) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBUX03162) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBMU03409) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBMU03380) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBOV03318) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBMU03397) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBMU03396) を追加
  ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBMU03611) を追加
  ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBMU03612) を追加		 March 5, 2019, 11:18 a.m.
NVD Vulnerability Information
CVE-2014-3569
Summary

The ssl23_get_client_hello function in s23_srvr.c in OpenSSL 0.9.8zc, 1.0.0o, and 1.0.1j does not properly handle attempts to use unsupported protocols, which allows remote attackers to cause a denial of service (NULL pointer dereference and daemon crash) via an unexpected handshake, as demonstrated by an SSLv3 handshake to a no-ssl3 application with certain error handling. NOTE: this issue became relevant after the CVE-2014-3568 fix.

Publication Date Dec. 24, 2014, 8:59 p.m.
Registration Date Jan. 26, 2021, 3:10 p.m.
Last Update Nov. 21, 2024, 11:08 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:openssl:openssl:1.0.1j:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List