NVD Vulnerability Detail

CVE-2013-4353

Summary	The ssl3_take_mac function in ssl/s3_both.c in OpenSSL 1.0.1 before 1.0.1f allows remote TLS servers to cause a denial of service (NULL pointer dereference and application crash) via a crafted Next Protocol Negotiation record in a TLS handshake.
Publication Date	Jan. 9, 2014, 10:55 a.m.
Registration Date	Jan. 26, 2021, 3:43 p.m.
Last Update	Nov. 21, 2024, 10:55 a.m.

CVSS2.0 : MEDIUM
Score	4.3
Vector	AV:N/AC:M/Au:N/C:N/I:N/A:P
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	中
攻撃前の認証要否(Au)	不要
機密性への影響(C)	なし
完全性への影響(I)	なし
可用性への影響(A)	低
Get all privileges.	いいえ
Get user privileges	いいえ
Get other privileges	いいえ
User operation required	いいえ

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:openssl:openssl:1.0.1:beta2::::::
cpe:2.3:a:openssl:openssl:1.0.1c:::::::*
cpe:2.3:a:openssl:openssl:1.0.1:beta3::::::
cpe:2.3:a:openssl:openssl:1.0.1a:::::::*
cpe:2.3:a:openssl:openssl:1.0.1:beta1::::::
cpe:2.3:a:openssl:openssl:1.0.1d:::::::*
cpe:2.3:a:openssl:openssl:1.0.1b:::::::*
cpe:2.3:a:openssl:openssl:1.0.1e:::::::*
cpe:2.3:a:openssl:openssl:1.0.1:::::::*

Related information, measures and tools

No	URL	タグ
1	http://git.openssl.org/gitweb/?p=openssl.git%3Ba=blob_plain%3Bf=CHANGES%3Bhb=refs/heads/OpenSSL_1_0_1-stable
2	http://git.openssl.org/gitweb/?p=openssl.git%3Ba=blob_plain%3Bf=CHANGES%3Bhb=refs/heads/OpenSSL_1_0_1-stable
3	http://git.openssl.org/gitweb/?p=openssl.git%3Ba=commit%3Bh=197e0ea817ad64820789d86711d55ff50d71f631
4	http://git.openssl.org/gitweb/?p=openssl.git%3Ba=commit%3Bh=197e0ea817ad64820789d86711d55ff50d71f631
5	http://lists.fedoraproject.org/pipermail/package-announce/2014-August/136470.html
6	http://lists.fedoraproject.org/pipermail/package-announce/2014-August/136470.html
7	http://lists.fedoraproject.org/pipermail/package-announce/2014-August/136473.html
8	http://lists.fedoraproject.org/pipermail/package-announce/2014-August/136473.html
9	http://lists.opensuse.org/opensuse-updates/2014-01/msg00065.html
10	http://lists.opensuse.org/opensuse-updates/2014-01/msg00065.html
11	http://lists.opensuse.org/opensuse-updates/2014-01/msg00067.html
12	http://lists.opensuse.org/opensuse-updates/2014-01/msg00067.html
13	http://lists.opensuse.org/opensuse-updates/2014-01/msg00070.html
14	http://lists.opensuse.org/opensuse-updates/2014-01/msg00070.html
15	http://rhn.redhat.com/errata/RHSA-2014-0015.html
16	http://rhn.redhat.com/errata/RHSA-2014-0015.html
17	http://rhn.redhat.com/errata/RHSA-2014-0041.html
18	http://rhn.redhat.com/errata/RHSA-2014-0041.html
19	http://www.debian.org/security/2014/dsa-2837
20	http://www.debian.org/security/2014/dsa-2837
21	http://www.openssl.org/news/vulnerabilities.html	Vendor Advisory
22	http://www.openssl.org/news/vulnerabilities.html	Vendor Advisory
23	http://www.splunk.com/view/SP-CAAAMB3
24	http://www.splunk.com/view/SP-CAAAMB3
25	http://www.ubuntu.com/usn/USN-2079-1
26	http://www.ubuntu.com/usn/USN-2079-1
27	http://www-01.ibm.com/support/docview.wss?uid=isg400001841
28	http://www-01.ibm.com/support/docview.wss?uid=isg400001841
29	http://www-01.ibm.com/support/docview.wss?uid=isg400001843
30	http://www-01.ibm.com/support/docview.wss?uid=isg400001843
31	https://bugzilla.redhat.com/show_bug.cgi?id=1049058
32	https://bugzilla.redhat.com/show_bug.cgi?id=1049058

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html

JVN Vulnerability Information

OpenSSL の ssl/s3_both.c 内の ssl3_take_mac 関数におけるサービス運用妨害 (DoS) の脆弱性

Title	OpenSSL の ssl/s3_both.c 内の ssl3_take_mac 関数におけるサービス運用妨害 (DoS) の脆弱性
Summary	OpenSSL の ssl/s3_both.c 内の ssl3_take_mac 関数には、サービス運用妨害 (NULL ポインタデリファレンスおよびアプリケーションクラッシュ) 状態にされる脆弱性が存在します。
Possible impacts	リモート TLS サーバにより、TLS ハンドシェイクの巧妙に細工された Next Protocol Negotiation レコードを介して、サービス運用妨害 (NULL ポインタデリファレンスおよびアプリケーションクラッシュ) 状態にされる可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Jan. 6, 2014, midnight
Registration Date	Jan. 10, 2014, 4:33 p.m.
Last Update	Aug. 10, 2015, 5:28 p.m.

Affected System

OpenSSL Project

OpenSSL 1.0.1f 未満の 1.0.1

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2013-4353	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4353
National Vulnerability Database (NVD)
2	CVE-2013-4353	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4353

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

ベンダー情報

No	Name	URL
IBM Support Document
1	00001841	http://www-01.ibm.com/support/docview.wss?uid=isg400001841
2	00001843	http://www-01.ibm.com/support/docview.wss?uid=isg400001843
OpenSSL
3	Fix for TLS record tampering bug CVE-2013-4353	http://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=197e0ea817ad64820789d86711d55ff50d71f631
4	OpenSSL CHANGES	http://git.openssl.org/gitweb/?p=openssl.git;a=blob_plain;f=CHANGES;hb=refs/heads/OpenSSL_1_0_1-stable
5	OpenSSL vulnerabilities	http://www.openssl.org/news/vulnerabilities.html
Red Hat Bugzilla
6	Bug 1049058	https://bugzilla.redhat.com/show_bug.cgi?id=1049058
Red Hat Security Advisory
7	RHBA-2013:1585	https://rhn.redhat.com/errata/RHBA-2013-1585.html
8	RHSA-2014:0015	https://rhn.redhat.com/errata/RHSA-2014-0015.html
9	RHSA-2014:0041	https://rhn.redhat.com/errata/RHSA-2014-0041.html
SECURITY BLOG
10	Multiple vulnerabilities in OpenSSL (Solaris 11.1)	https://blogs.oracle.com/sunsecurity/entry/multiple_vulnerabilities_in_openssl3
11	Multiple vulnerabilities in OpenSSL (Solaris 11.2)	https://blogs.oracle.com/sunsecurity/entry/multiple_vulnerabilities_in_openssl4
Splunk
12	Splunk 6.0.3 addresses two vulnerabilities - April 10, 2014	http://www.splunk.com/view/SP-CAAAMB3

Change Log

No	Changed Details	Date of change
0	[2014年01月10日] 掲載 [2014年06月26日] ベンダ情報：オラクル (Multiple vulnerabilities in OpenSSL (Solaris 11.1)) を追加 [2014年08月11日] ベンダ情報：オラクル (Multiple vulnerabilities in OpenSSL (Solaris 11.2)) を追加 [2015年08月03日] ベンダ情報：IBM (00001841) を追加ベンダ情報：IBM (00001843) を追加 [2015年08月10日] ベンダ情報：レッドハット (RHSA-2014:0041) を追加ベンダ情報：Splunk (Splunk 6.0.3 addresses two vulnerabilities - April 10, 2014) を追加	Feb. 17, 2018, 10:37 a.m.

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:openssl:openssl:1.0.1:beta2::::::
cpe:2.3:a:openssl:openssl:1.0.1c:::::::*
cpe:2.3:a:openssl:openssl:1.0.1:beta3::::::
cpe:2.3:a:openssl:openssl:1.0.1a:::::::*
cpe:2.3:a:openssl:openssl:1.0.1:beta1::::::
cpe:2.3:a:openssl:openssl:1.0.1d:::::::*
cpe:2.3:a:openssl:openssl:1.0.1b:::::::*
cpe:2.3:a:openssl:openssl:1.0.1e:::::::*
cpe:2.3:a:openssl:openssl:1.0.1:::::::*