NVD Vulnerability Detail
Search Exploit, PoC
CVE-2015-3216
Summary

Race condition in a certain Red Hat patch to the PRNG lock implementation in the ssleay_rand_bytes function in OpenSSL, as distributed in openssl-1.0.1e-25.el7 in Red Hat Enterprise Linux (RHEL) 7 and other products, allows remote attackers to cause a denial of service (application crash) by establishing many TLS sessions to a multithreaded server, leading to use of a negative value for a certain length field.

Publication Date July 7, 2015, 7:59 p.m.
Registration Date Jan. 26, 2021, 2:49 p.m.
Last Update Nov. 21, 2024, 11:28 a.m.
CVSS2.0 : MEDIUM
Score 4.3
Vector AV:N/AC:M/Au:N/C:N/I:N/A:P
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃前の認証要否(Au) 不要
機密性への影響(C) なし
完全性への影響(I) なし
可用性への影響(A)
Get all privileges. いいえ
Get user privileges いいえ
Get other privileges いいえ
User operation required いいえ
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:o:redhat:enterprise_linux:7.0:*:*:*:*:*:*:*
Configuration2 or higher or less more than less than
cpe:2.3:a:openssl:openssl:1.0.1e-25.el7:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
複数の Red Hat Enterprise Linux 製品の openssl-1.0.1e-25.el7 で配布される OpenSSL におけるサービス運用妨害 (DoS) の脆弱性
Title 複数の Red Hat Enterprise Linux 製品の openssl-1.0.1e-25.el7 で配布される OpenSSL におけるサービス運用妨害 (DoS) の脆弱性
Summary

複数の Red Hat Enterprise Linux 製品の openssl-1.0.1e-25.el7 で配布される OpenSSL の ssleay_rand_bytes 関数の PRNG lock の実装の特定の Red Hat のパッチには、競合状態により、サービス運用妨害 (アプリケーションクラッシュ) 状態にされる脆弱性が存在します。

Possible impacts 第三者により、マルチスレッドサーバへの多数の TLS セッションを確立され、特定の length フィールドに対して負の値を使用されることで、サービス運用妨害 (アプリケーションクラッシュ) 状態にされる可能性があります。
Solution

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date May 28, 2015, midnight
Registration Date July 10, 2015, 2:23 p.m.
Last Update July 10, 2015, 2:23 p.m.
Affected System
レッドハット
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux HPC Node 6
Red Hat Enterprise Linux HPC Node 7
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Server EUS 6.6.z
Red Hat Enterprise Linux Workstation 6
Red Hat Enterprise Linux Workstation 7
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
0 [2015年07月10日]
  掲載		 Feb. 17, 2018, 10:37 a.m.