製品・ソフトウェアに関する情報

JVN脆弱性詳細

OpenSSL にサービス運用妨害 (DoS) の脆弱性

Title	OpenSSL にサービス運用妨害 (DoS) の脆弱性
Summary	OpenSSL には、サービス運用妨害 (DoS) の脆弱性が存在します。 OpenSSL は、次の脆弱性を修正したアップデートをリリースしました。　　* 再ネゴシエーション時の Encrypt-Then-Mac 拡張の扱いに起因するサービス運用妨害 (DoS) の脆弱性 - CVE-2017-3733 (重要度：高)
Possible impacts	使用する ciphersuite に依存しますが、OpenSSL を使用しているサーバやアプリケーションが、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。
Solution	[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。本脆弱性を修正した OpenSSL 1.1.0e がリリースされています。
Publication Date	Feb. 17, 2017, midnight
Registration Date	Feb. 20, 2017, 5:26 p.m.
Last Update	Feb. 7, 2018, 4:56 p.m.

Affected System

OpenSSL Project

OpenSSL 1.1.0e より前のバージョン

日本電気

ESMPRO/ServerAgent 4.4.22-1以降 (Linux)

ESMPRO/ServerAgentService 全バージョン (Linux)

SystemDirector Enterprise

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2017-3733	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3733
National Vulnerability Database (NVD)
2	CVE-2017-3733	https://nvd.nist.gov/vuln/detail/CVE-2017-3733

ベンダー情報

No	Name	URL
NEC製品セキュリティ情報
1	NV17-020	http://jpn.nec.com/security-info/secinfo/nv17-020.html
News
2	OpenSSL 1.1.0 Series Release Notes	https://www.openssl.org/news/openssl-1.1.0-notes.html
OpenSSL Security Advisory
3	Encrypt-Then-Mac renegotiation crash (CVE-2017-3733)	https://www.openssl.org/news/secadv/20170216.txt

その他

No	Name	URL
JVN
1	JVNVU#90017300	http://jvn.jp/vu/JVNVU90017300/index.html

Change Log

No	Changed Details	Date of change
0	[2017年02月20日] 掲載 [2017年10月03日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：日本電気 (NV17-020) を追加参考情報：National Vulnerability Database (NVD) (CVE-2017-3733) を追加 [2018年02月07日] 影響を受けるシステム：ベンダ情報 (NV17-020) の更新に伴い内容を更新	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2017-3733

Summary	During a renegotiation handshake if the Encrypt-Then-Mac extension is negotiated where it was not in the original handshake (or vice-versa) then this can cause OpenSSL 1.1.0 before 1.1.0e to crash (dependent on ciphersuite). Both clients and servers are affected.
Publication Date	May 5, 2017, 4:29 a.m.
Registration Date	Jan. 26, 2021, 1:23 p.m.
Last Update	Nov. 21, 2024, 12:26 p.m.

Affected software configurations

Related information, measures and tools

No	URL	タグ
1	http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html
2	http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html
3	http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html
4	http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html
5	http://www.securityfocus.com/bid/96269	Third Party Advisory VDB Entry
6	http://www.securityfocus.com/bid/96269	Third Party Advisory VDB Entry
7	http://www.securitytracker.com/id/1037846
8	http://www.securitytracker.com/id/1037846
9	https://github.com/openssl/openssl/commit/4ad93618d26a3ea23d36ad5498ff4f59eff3a4d2
10	https://github.com/openssl/openssl/commit/4ad93618d26a3ea23d36ad5498ff4f59eff3a4d2
11	https://h20566.www2.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=emr_na-hpesbgn03728en_us	Third Party Advisory VDB Entry
12	https://h20566.www2.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=emr_na-hpesbgn03728en_us	Third Party Advisory VDB Entry
13	https://www.openssl.org/news/secadv/20170216.txt	Vendor Advisory
14	https://www.openssl.org/news/secadv/20170216.txt	Vendor Advisory
15	https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
16	https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html