Crypto++ の ASN.1 BER デコーディングルーチンにおけるメモリブロックをゼロにされる脆弱性
| Title |
Crypto++ の ASN.1 BER デコーディングルーチンにおけるメモリブロックをゼロにされる脆弱性
|
| Summary |
Crypto++ (別名 cryptopp および libcrypto++) の ASN.1 BER デコーディングルーチンには、ASN.1 オブジェクトに十分な内容のオクテットがない場合、メモリブロックをゼロにされる脆弱性存在します。
|
| Possible impacts |
メモリブロックをゼロにされる可能性があります。 |
| Solution |
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
Dec. 28, 2016, midnight |
| Registration Date |
Feb. 15, 2017, 5:39 p.m. |
| Last Update |
Feb. 15, 2017, 5:39 p.m. |
|
CVSS3.0 : 重要
|
| Score |
7.5
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
|
CVSS2.0 : 警告
|
| Score |
5
|
| Vector |
AV:N/AC:L/Au:N/C:N/I:N/A:P |
Affected System
| Debian |
|
Debian GNU/Linux 8.0
|
| cryptopp project |
|
Crypto++ 5.6.4
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 0 |
[2017年02月15日]
掲載 |
Feb. 17, 2018, 10:37 a.m. |
NVD Vulnerability Information
CVE-2016-9939
| Summary |
Crypto++ (aka cryptopp and libcrypto++) 5.6.4 contained a bug in its ASN.1 BER decoding routine. The library will allocate a memory block based on the length field of the ASN.1 object. If there is not enough content octets in the ASN.1 object, then the function will fail and the memory block will be zeroed even if its unused. There is a noticeable delay during the wipe for a large allocation.
|
| Publication Date |
Jan. 31, 2017, 6:59 a.m. |
| Registration Date |
Jan. 26, 2021, 2:21 p.m. |
| Last Update |
Nov. 21, 2024, 12:02 p.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:cryptopp:crypto\+\+:5.6.4:*:*:*:*:*:*:* |
|
|
|
|
| Configuration2 |
or higher |
or less |
more than |
less than |
| cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:* |
|
|
|
|
Related information, measures and tools
Common Vulnerabilities List