| Summary | The SSL/TLS server implementation in OpenSSL 0.9.7 before 0.9.7h and 0.9.8 before 0.9.8a, when using the SSL_OP_MSIE_SSLV2_RSA_PADDING option, disables a verification step that is required for preventing protocol version rollback attacks, which allows remote attackers to force a client and server to use a weaker protocol than needed via a man-in-the-middle attack. |
|---|---|
| Publication Date | Oct. 19, 2005, 6:02 a.m. |
| Registration Date | Jan. 29, 2021, 5:59 p.m. |
| Last Update | May 3, 2018, 10:29 a.m. |
| CVSS2.0 : MEDIUM | |
| Score | 5.0 |
|---|---|
| Vector | AV:N/AC:L/Au:N/C:N/I:P/A:N |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 攻撃前の認証要否(Au) | 不要 |
| 機密性への影響(C) | なし |
| 完全性への影響(I) | 低 |
| 可用性への影響(A) | なし |
| Get all privileges. | いいえ |
| Get user privileges | いいえ |
| Get other privileges | いいえ |
| User operation required | いいえ |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:openssl:openssl:0.9.7:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:openssl:openssl:0.9.7a:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:openssl:openssl:0.9.7b:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:openssl:openssl:0.9.7c:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:openssl:openssl:0.9.7d:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:openssl:openssl:0.9.7e:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:openssl:openssl:0.9.7f:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:openssl:openssl:0.9.7g:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:openssl:openssl:0.9.8:*:*:*:*:*:*:* | |||||
| Title | OpenSSL におけるバージョン・ロールバックの脆弱性 |
|---|---|
| Summary | OpenSSL Project より提供されている OpenSSL には、バージョン・ロールバックが可能な脆弱性が存在します。 TLS プロトコルを定めている RFC2246 では、バージョン・ロールバック攻撃を避けるために、TLS 1.0 が使用できる場合には SSL 2.0 を利用しないことを定めています。 本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCがベンダおよびCERT/CCとの調整を行いました。 報告者: 産業技術総合研究所 情報セキュリティ研究センター 大岩 寛 氏 |
| Possible impacts | 攻撃者が管理する経路を通して OpenSSL による通信を行う場合、強制的に暗号化方式を TLS 1.0 や SSL 3.0 から SSL 2.0 に変更され、盗聴や改ざん等の MITM (Man In The Middle) 攻撃を受ける可能性があります。 |
| Solution | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | Oct. 11, 2005, midnight |
| Registration Date | April 1, 2007, midnight |
| Last Update | May 22, 2014, 5:59 p.m. |
| サン・マイクロシステムズ |
| Sun Solaris 10 (sparc) |
| Sun Solaris 10 (x86) |
| レッドハット |
| Red Hat Enterprise Linux 3 (as) |
| Red Hat Enterprise Linux 3 (es) |
| Red Hat Enterprise Linux 3 (ws) |
| Red Hat Enterprise Linux 4 (as) |
| Red Hat Enterprise Linux 4 (es) |
| Red Hat Enterprise Linux 4 (ws) |
| Red Hat Enterprise Linux 2.1 (as) |
| Red Hat Enterprise Linux 2.1 (es) |
| Red Hat Enterprise Linux 2.1 (ws) |
| Red Hat Linux Advanced Workstation 2.1 |
| ヒューレット・パッカード |
| HP-UX 11.00 |
| HP-UX 11.11 |
| HP-UX 11.23 |
| トレンドマイクロ |
| InterScan Messaging Security Suite for Linux 5.11 |
| InterScan Messaging Security Suite for Solaris 5.11 |
| TrendMicro InterScan VirusWall 3.81 およびそれ以前 |
| TrendMicro InterScan Web Security Suite for Linux 1.02 |
| TrendMicro InterScan Web Security Suite for Solaris 1.1 |
| TrendMicro InterScan Web Security Suite for Windows 1.01 |
| OpenSSL Project |
| OpenSSL 0.9.6h およびそれ以前 |
| OpenSSL 0.9.7a およびそれ以前 |
| ターボリナックス |
| Turbolinux Appliance Server 1.0 (hosting) |
| Turbolinux Appliance Server 1.0 (workgroup) |
| Turbolinux Appliance Server 2.0 |
| Turbolinux FUJI |
| Turbolinux Multimedia |
| Turbolinux Personal |
| Turbolinux Server 10 |
| Turbolinux Server 10 (x64) |
| Turbolinux Server 11 |
| Turbolinux Server 11 (x64) |
| Turbolinux Server 8 |
| wizpy |
| サイバートラスト株式会社 |
| Asianux Server 2.0 Standard Edition |
| Asianux Server 2.1 Standard Edition |
| Asianux Server 3.0 |
| Asianux Server 3.0 (x86-64) |
| Asianux Server 4.0 |
| Asianux Server 4.0 (x86-64) |
| 富士通 |
| IPCOMシリーズ |
| バイオ認証装置 |
| 日立 |
| Cosminexus Application Server Enterprise Version 6 |
| Cosminexus Application Server Standard Version 6 |
| Cosminexus Application Server Version 5 |
| Cosminexus Developer Light Version 6 |
| Cosminexus Developer Professional Version 6 |
| Cosminexus Developer Standard Version 6 |
| Cosminexus Developer Version 5 |
| Cosminexus Server - Enterprise Edition |
| Cosminexus Server - Standard Edition |
| Cosminexus Server - Standard Edition Version 4 |
| Cosminexus Server - Web Edition |
| Cosminexus Server - Web Edition Version 4 |
| Hitachi Web Server |
| Hitachi Web Server - Custom Edition |
| Hitachi Web Server - Security Enhancement |
| Hitachi Web Server for VOS3 |
| uCosminexus Application Server Enterprise |
| uCosminexus Application Server Smart Edition |
| uCosminexus Application Server Standard |
| uCosminexus Developer Professional |
| uCosminexus Developer Light |
| uCosminexus Developer Standard |
| uCosminexus Service Architect |
| uCosminexus Service Platform |
| センチュリー・システムズ |
| MV-630 Ver1.4.0 以前 |
| RA-350 Ver2.2.0 以前 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2007年04月01日] 掲載 [2007年12月03日] 影響を受けるシステム:ターボリナックス (TLSA-2007-52) の情報追加 ベンダ情報: ターボリナックス (TLSA-2007-52) 追加 [2014年05月22日] 影響を受けるシステム:日立 (HS06-022) の情報を追加 ベンダ情報:日立 (HS06-022) を追加 |
Feb. 17, 2018, 10:37 a.m. |