製品・ソフトウェアに関する情報
Vulnerability Search
Linux Kernel の arch/x86/crypto/aesni-intel_glue.c 内の __driver_rfc4106_decrypt 関数におけるサービス運用妨害 (DoS) の脆弱性
Title Linux Kernel の arch/x86/crypto/aesni-intel_glue.c 内の __driver_rfc4106_decrypt 関数におけるサービス運用妨害 (DoS) の脆弱性
Summary

Linux Kernel の arch/x86/crypto/aesni-intel_glue.c 内の __driver_rfc4106_decrypt 関数は、暗号化されたデータに使用されるメモリ領域を適切に判定しないため、サービス運用妨害 (バッファオーバーフローおよびシステムクラッシュ) 状態にされる、または任意のコードを実行される脆弱性が存在します。

Possible impacts 攻撃者により、crypto API コールを誘発されることで、サービス運用妨害 (バッファオーバーフローおよびシステムクラッシュ) 状態にされる、または任意のコードを実行される可能性があります。
Solution

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date March 26, 2015, midnight
Registration Date May 29, 2015, 4:20 p.m.
Last Update Sept. 3, 2015, 5:51 p.m.
CVSS2.0 : 危険
Score 9.3
Vector AV:N/AC:M/Au:N/C:C/I:C/A:C
Affected System
Linux
Linux Kernel 3.19.3 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
0 [2015年05月29日]
  掲載
[2015年09月03日]
  ベンダ情報:レッドハット (RHSA-2015:1199) を追加		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2015-3331
Summary

The __driver_rfc4106_decrypt function in arch/x86/crypto/aesni-intel_glue.c in the Linux kernel before 3.19.3 does not properly determine the memory locations used for encrypted data, which allows context-dependent attackers to cause a denial of service (buffer overflow and system crash) or possibly execute arbitrary code by triggering a crypto API call, as demonstrated by use of a libkcapi test program with an AF_ALG(aead) socket.

Publication Date May 27, 2015, 7:59 p.m.
Registration Date Jan. 26, 2021, 2:49 p.m.
Last Update Nov. 21, 2024, 11:29 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 3.15 3.16.35
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 3.2.69
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 3.3 3.4.108
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 3.5 3.10.73
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 3.12 3.12.40
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 3.13 3.14.37
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 3.17 3.18.11
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 3.19 3.19.3
Configuration2 or higher or less more than less than
cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:7.0:*:*:*:*:*:*:*
Configuration3 or higher or less more than less than
cpe:2.3:o:canonical:ubuntu_linux:12.04:*:*:*:-:*:*:*
Related information, measures and tools
Common Vulnerabilities List