NVD Vulnerability Detail

CVE-2015-1787

Summary	The ssl3_get_client_key_exchange function in s3_srvr.c in OpenSSL 1.0.2 before 1.0.2a, when client authentication and an ephemeral Diffie-Hellman ciphersuite are enabled, allows remote attackers to cause a denial of service (daemon crash) via a ClientKeyExchange message with a length of zero.
Publication Date	March 20, 2015, 7:59 a.m.
Registration Date	Jan. 26, 2021, 2:46 p.m.
Last Update	Nov. 21, 2024, 11:26 a.m.

CVSS2.0 : LOW
Score	2.6
Vector	AV:N/AC:H/Au:N/C:N/I:N/A:P
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	高
攻撃前の認証要否(Au)	不要
機密性への影響(C)	なし
完全性への影響(I)	なし
可用性への影響(A)	低
Get all privileges.	いいえ
Get user privileges	いいえ
Get other privileges	いいえ
User operation required	いいえ

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:openssl:openssl:1.0.2:beta3::::::
cpe:2.3:a:openssl:openssl:1.0.2:beta1::::::
cpe:2.3:a:openssl:openssl:1.0.2:::::::*
cpe:2.3:a:openssl:openssl:1.0.2:beta2::::::

Related information, measures and tools

No	URL	タグ
1	http://marc.info/?l=bugtraq&m=143748090628601&w=2	Mailing List Third Party Advisory
2	http://marc.info/?l=bugtraq&m=143748090628601&w=2	Mailing List Third Party Advisory
3	http://marc.info/?l=bugtraq&m=144050155601375&w=2	Mailing List Third Party Advisory
4	http://marc.info/?l=bugtraq&m=144050155601375&w=2	Mailing List Third Party Advisory
5	http://marc.info/?l=bugtraq&m=144050297101809&w=2	Mailing List Third Party Advisory
6	http://marc.info/?l=bugtraq&m=144050297101809&w=2	Mailing List Third Party Advisory
7	http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html	Patch Third Party Advisory
8	http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html	Patch Third Party Advisory
9	http://www.oracle.com/technetwork/topics/security/bulletinapr2015-2511959.html	Third Party Advisory
10	http://www.oracle.com/technetwork/topics/security/bulletinapr2015-2511959.html	Third Party Advisory
11	http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html	Third Party Advisory
12	http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html	Third Party Advisory
13	http://www.oracle.com/technetwork/topics/security/cpujul2015-2367936.html	Third Party Advisory
14	http://www.oracle.com/technetwork/topics/security/cpujul2015-2367936.html	Third Party Advisory
15	http://www.oracle.com/technetwork/topics/security/cpuoct2015-2367953.html	Third Party Advisory
16	http://www.oracle.com/technetwork/topics/security/cpuoct2015-2367953.html	Third Party Advisory
17	http://www.securityfocus.com/bid/73238	Third Party Advisory VDB Entry
18	http://www.securityfocus.com/bid/73238	Third Party Advisory VDB Entry
19	http://www.securitytracker.com/id/1031929	Third Party Advisory VDB Entry
20	http://www.securitytracker.com/id/1031929	Third Party Advisory VDB Entry
21	https://bto.bluecoat.com/security-advisory/sa92	Third Party Advisory
22	https://bto.bluecoat.com/security-advisory/sa92	Third Party Advisory
23	https://bugzilla.redhat.com/show_bug.cgi?id=1202406	Issue Tracking Third Party Advisory
24	https://bugzilla.redhat.com/show_bug.cgi?id=1202406	Issue Tracking Third Party Advisory
25	https://cert-portal.siemens.com/productcert/pdf/ssa-412672.pdf
26	https://cert-portal.siemens.com/productcert/pdf/ssa-412672.pdf
27	https://git.openssl.org/?p=openssl.git%3Ba=commit%3Bh=b19d8143212ae5fbc9cebfd51c01f802fabccd33
28	https://git.openssl.org/?p=openssl.git%3Ba=commit%3Bh=b19d8143212ae5fbc9cebfd51c01f802fabccd33
29	https://kc.mcafee.com/corporate/index?page=content&id=SB10110	Third Party Advisory
30	https://kc.mcafee.com/corporate/index?page=content&id=SB10110	Third Party Advisory
31	https://security.gentoo.org/glsa/201503-11	Third Party Advisory
32	https://security.gentoo.org/glsa/201503-11	Third Party Advisory
33	https://www.openssl.org/news/secadv_20150319.txt	Vendor Advisory
34	https://www.openssl.org/news/secadv_20150319.txt	Vendor Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html

JVN Vulnerability Information

OpenSSL の s3_srvr.c の ssl3_get_client_key_exchange 関数におけるサービス運用妨害 (DoS) の脆弱性

Title	OpenSSL の s3_srvr.c の ssl3_get_client_key_exchange 関数におけるサービス運用妨害 (DoS) の脆弱性
Summary	OpenSSL の s3_srvr.c の ssl3_get_client_key_exchange 関数には、クライアント認証および一時的に Diffie-Hellman 暗号スイートが有効になっている場合、サービス運用妨害 (デーモンクラッシュ) 状態にされる脆弱性が存在します。
Possible impacts	第三者により、length に 0 (ゼロ) を持つ ClientKeyExchange メッセージを介して、サービス運用妨害 (デーモンクラッシュ) 状態にされる可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	March 19, 2015, midnight
Registration Date	March 23, 2015, 12:30 p.m.
Last Update	Nov. 9, 2016, 3:45 p.m.

Affected System

オラクル

Oracle Enterprise Manager Ops Center 12.1.4 未満

Oracle Enterprise Manager Ops Center 12.2.0

Oracle Enterprise Manager Ops Center 12.2.1

Oracle Enterprise Manager Ops Center 12.3.0

Oracle Fusion Middleware の Oracle Business Intelligence Enterprise Edition 11.1.1.7

Oracle Fusion Middleware の Oracle Business Intelligence Enterprise Edition 11.1.1.9

Oracle Fusion Middleware の Oracle Endeca Server 7.3.0.0

Oracle Fusion Middleware の Oracle Endeca Server 7.4.0.0

Oracle Fusion Middleware の Oracle Endeca Server 7.5.1.1

Oracle Fusion Middleware の Oracle Endeca Server 7.6.1.0.0

Oracle Fusion Middleware の Oracle Exalogic Infrastructure 2.0.6.2

OpenSSL Project

OpenSSL 1.0.2 以上 1.0.2a 未満

日本電気

CSVIEW /Webアンケート

EnterpriseIdentityManager Ver2.0 から 8.0

Express5800 /SG シリーズ InterSecVM/SG v1.2,v3.0,v3.1,v4.0

Express5800 /SG シリーズ SG3600LM/LG/LJ v6.1,v6.2,v7.0,v7.1,v8.0

Express5800 /SG シリーズ UNIVERGE SG3000LG/LJ

Express5800 /SIGMABLADE EMカード(N8405-019/019A/043)用ファームウェア Rev.14.02 以前

iStorage HSシリーズ全バージョン

iStorage NV7400/NV5400/NV3400シリーズ

iStorage NV7500/NV5500/NV3500シリーズ

IX2000シリーズ Ver.8.7.22以降の全バージョン

IX3000シリーズ Ver.8.7.22以降の全バージョン

SecureWare/PKIアプリケーション開発キット Ver3.0

SecureWare/PKIアプリケーション開発キット Ver3.01

SecureWare/PKIアプリケーション開発キット Ver3.02

SecureWare/PKIアプリケーション開発キット Ver3.1

SystemDirector Enterprise for Java (全モデル) V5.1 から V7.2

UNIVERGE 3C CMM 全バージョン

UNIVERGE 3C UCM V8.5.4以前

WebOTX Enterprise Edition V4.2 から V6.5

WebOTX Standard Edition V4.2 から V6.5

WebOTX Standard-J Edition V4.1 から V6.5

WebOTX UDDI Registry V1.1 から V7.1

WebOTX Web Edition V4.1 から V6.5

WebOTX Application Server Enterprise Edition V7.1

WebOTX Application Server Enterprise V8.2 から V9.2

WebOTX Application Server Express V8.2 から V9.2

WebOTX Application Server Foundation V8.2 から V8.5

WebOTX Application Server Standard Edition V7.1

WebOTX Application Server Standard V8.2 から V9.2

WebOTX Application Server Standard-J Edition V7.1 から V8.1

WebOTX Application Server Web Edition V7.1 から V8.1

WebOTX Enterprise Service Bus V6.4 から V9.2

WebOTX Portal V8.2 から V9.1

WebOTX SIP Application Server Standard Edition V7.1 から V8.1

WebSAM Application Navigator Agent Ver3.3 から Ver4.1

WebSAM Application Navigator Manager Ver3.2.2 から Ver4.1

WebSAM Application Navigator Probe Option Ver3.1.0.x から Ver4.1.0.x

WebSAM JobCenter R14.1

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2015-1787	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1787
National Vulnerability Database (NVD)
2	CVE-2015-1787	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1787

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

ベンダー情報

No	Name	URL
Cisco Security Advisory
1	cisco-sa-20150320-openssl	http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150320-openssl
JVN
2	アライドテレシス株式会社からの情報	http://jvn.jp/vu/JVNVU95877131/522154/index.html
NEC製品セキュリティ情報
3	NV15-015	http://jpn.nec.com/security-info/secinfo/nv15-015.html
OpenSSL Project
4	Fix DHE Null CKE vulnerability	https://git.openssl.org/?p=openssl.git;a=commit;h=b19d8143212ae5fbc9cebfd51c01f802fabccd33
OpenSSL Security Advisory
5	Empty CKE with client auth and DHE (CVE-2015-1787)	https://www.openssl.org/news/secadv_20150319.txt
Oracle Critical Patch Update
6	Oracle Critical Patch Update Advisory - January 2016	http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html
7	Oracle Critical Patch Update Advisory - July 2015	http://www.oracle.com/technetwork/topics/security/cpujul2015-2367936.html
8	Oracle Critical Patch Update Advisory - October 2015	http://www.oracle.com/technetwork/topics/security/cpuoct2015-2367953.html
9	Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices	http://www.oracle.com/technetwork/topics/security/cpujan2016verbose-2367956.html
10	Text Form of Oracle Critical Patch Update - July 2015 Risk Matrices	http://www.oracle.com/technetwork/topics/security/cpujul2015verbose-2367947.html
11	Text Form of Oracle Critical Patch Update - October 2015 Risk Matrices	http://www.oracle.com/technetwork/topics/security/cpuoct2015verbose-2367954.html
Red Hat Bugzilla
12	Bug 1202406	https://bugzilla.redhat.com/show_bug.cgi?id=1202406
Security Advisories
13	SA92	https://bto.bluecoat.com/security-advisory/sa92
SECURITY BLOG
14	January 2016 Critical Patch Update Released	https://blogs.oracle.com/security/entry/january_2016_critical_patch_update
15	July 2015 Critical Patch Update Released	https://blogs.oracle.com/security/entry/july_2015_critical_patch_update
16	October 2015 Critical Patch Update Released	https://blogs.oracle.com/security/entry/october_2015_critical_patch_update
サポート＆技術情報
17	OpenSSLに複数の脆弱性 (19 Mar 2015)	http://www.seil.jp/support/security/a01545.html
シスコセキュリティアドバイザリ
18	cisco-sa-20150320-openssl	http://www.cisco.com/cisco/web/support/JP/112/1128/1128874_cisco-sa-20150320-openssl-j.html

その他

No	Name	URL
JVN
1	JVNVU#95877131	http://jvn.jp/vu/JVNVU95877131/index.html

Change Log

No	Changed Details	Date of change
0	[2015年03月23日] 掲載 [2015年04月14日] ベンダ情報：インターネットイニシアティブ (OpenSSLに複数の脆弱性 (19 Mar 2015)) を追加 [2015年06月16日] ベンダ情報：アライドテレシス (アライドテレシス株式会社からの情報) を追加 [2015年07月01日] ベンダ情報：シスコシステムズ (cisco-sa-20150320-openssl) を追加 [2015年07月29日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - July 2015) を追加ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - July 2015 Risk Matrices) を追加ベンダ情報：オラクル (July 2015 Critical Patch Update Released) を追加 [2015年10月28日] ベンダ情報：日本電気 (NV15-015) を追加 [2015年11月06日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - October 2015) を追加ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - October 2015 Risk Matrices) を追加ベンダ情報：オラクル (October 2015 Critical Patch Update Released) を追加 [2015年11月12日] 影響を受けるシステム：ベンダ情報の更新に伴い内容を更新 [2015年11月25日] 影響を受けるシステム：ベンダ情報の更新に伴い内容を更新 [2015年12月07日] 影響を受けるシステム：ベンダ情報の更新に伴い内容を更新 [2015年12月22日] 影響を受けるシステム：ベンダ情報の更新に伴い内容を更新 [2016年01月15日] ベンダ情報：ブルーコートシステムズ (SA92) を追加 [2016年01月27日] 影響を受けるシステム：ベンダ情報の更新に伴い内容を更新 [2016年01月29日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - January 2016) を追加ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices) を追加ベンダ情報：オラクル (January 2016 Critical Patch Update Released) を追加 [2016年02月01日] 影響を受けるシステム：ベンダ情報の更新に伴い内容を更新 [2016年03月04日] 影響を受けるシステム：ベンダ情報の更新に伴い内容を更新 [2016年06月23日] 影響を受けるシステム：ベンダ情報の更新に伴い内容を更新 [2016年08月01日] 影響を受けるシステム：ベンダ情報の更新に伴い内容を更新 [2016年08月24日] 影響を受けるシステム：ベンダ情報の更新に伴い内容を更新 [2016年09月30日] 影響を受けるシステム：ベンダ情報の更新に伴い内容を更新 [2016年11月09日] 影響を受けるシステム：ベンダ情報の更新に伴い内容を更新	Feb. 17, 2018, 10:37 a.m.