NVD Vulnerability Detail
Search Exploit, PoC
CVE-2016-0800
Summary

The SSLv2 protocol, as used in OpenSSL before 1.0.1s and 1.0.2 before 1.0.2g and other products, requires a server to send a ServerVerify message before establishing that a client possesses certain plaintext RSA data, which makes it easier for remote attackers to decrypt TLS ciphertext data by leveraging a Bleichenbacher RSA padding oracle, aka a "DROWN" attack.

Publication Date March 2, 2016, 5:59 a.m.
Registration Date Jan. 26, 2021, 2:04 p.m.
Last Update Nov. 21, 2024, 11:42 a.m.
CVSS3.0 : MEDIUM
スコア 5.9
Vector CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃に必要な特権レベル(PR) 不要
利用者の関与(UI) 不要
影響の想定範囲(S) 変更なし
機密性への影響(C)
完全性への影響(I) なし
可用性への影響(A) なし
CVSS2.0 : MEDIUM
Score 4.3
Vector AV:N/AC:M/Au:N/C:P/I:N/A:N
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃前の認証要否(Au) 不要
機密性への影響(C)
完全性への影響(I) なし
可用性への影響(A) なし
Get all privileges. いいえ
Get user privileges いいえ
Get other privileges いいえ
User operation required いいえ
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:openssl:openssl:1.0.1m:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.2a:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.1j:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.1:beta2:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.1h:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.2e:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.1r:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.2b:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.1c:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.1g:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.1:beta3:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.1a:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.1:beta1:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.1d:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.2c:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.2:beta3:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.1p:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.2:beta1:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.1k:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.1b:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.1n:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.1q:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.1e:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.1l:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.1f:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.1o:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.2:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.2f:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.1i:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.2:beta2:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.1:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.2d:*:*:*:*:*:*:*
Configuration2 or higher or less more than less than
cpe:2.3:a:pulsesecure:steel_belted_radius:-:*:*:*:*:*:*:*
cpe:2.3:a:pulsesecure:client:-:*:*:*:*:iphone_os:*:*
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
SSLv2 の暗号通信を解読可能な脆弱性 (DROWN 攻撃)
Title SSLv2 の暗号通信を解読可能な脆弱性 (DROWN 攻撃)
Summary

SSLv2 は、十分な回数のハンドシェイクの情報を収集できる場合、暗号通信を解読される可能性があります。これは "DROWN 攻撃" という名称で報じられています。 研究者によれば、DROWN 攻撃は、Bleichenbacher のパディングオラクル攻撃の新たな手法です。攻撃者は SSLv2 をサポートしている脆弱なサーバから暗号化された通信内容を解読することが可能です。TLS 通信であっても、SSLv2 のサーバから取得されたものと同一の秘密鍵を使用していた場合、攻撃者は通信内容を解読することが可能です。 本脆弱性の影響を直接受けるのは SSLv2 のみですが、研究者のウェブサイトによると、多くのサーバが SSLv2 と TLS で共通のサーバ証明書を使用しているとのことです。なお、この攻撃では、1,000回程度の SSL ハンドシェイクの情報を取得しておく必要があります。 研究者のウェブサイト https://drownattack.com/ 研究者は DROWN 攻撃の確認ツールと、更なる詳細を掲載した FAQ を公開しています。 確認ツール https://drownattack.com/#check FAQ https://drownattack.com/#question-answer

Possible impacts 遠隔の攻撃者に、SSLv2 をサポートしているサーバの暗号通信を解読される可能性があります。SSLv2 をサポートしており、TLS 通信で SSLv2 と同一の証明書を使用している場合、TLS の暗号通信であっても、同様の影響を受ける可能性があります。
Solution

[SSLv2 を無効化する] サーバの管理者は、サーバの SSLv2 サポートを無効化してください。研究者は、様々なサーバ製品で SSLv2 を無効化する方法について更なる情報を公開しています。 更なる情報 https://drownattack.com/#check サーバが SSLv2 をサポートしているか否かは、次のコマンドで確認することが可能です。 openssl s_client -connect [ホスト名]:443 -ssl2 サーバ証明書の情報が表示された場合、SSLv2 がサポートされています。 なお、SSLv2 は 2011年から非推奨となっています (RFC 6176)。 RFC 6176 http://tools.ietf.org/html/rfc6176 [共通の SSL 証明書を使用しない] TLS 通信自体は、本脆弱性の影響を受けません。SSLv2 のサポートが必要な場合、証明書や鍵の作成に使用する key material は SSLv2 と TLS で別のものを使用してください。 [通信内容を監視し、ファイアウォールのルールを設定する] ファイアウォールの設定で、SSLv2 通信をブロックすることを推奨します。この攻撃では 1,000回程度の SSL ハンドシェイク情報の取得が必要であることから、管理者は、接続試行が繰り返し行われていないか、通信ログを監視しておくことが推奨されます。ただし、このハンドシェイクの情報は中間者攻撃 (man-in-the-middle attack) やその他の攻撃によって取得されることがあるため、攻撃者が直接接続を試行するとは限りません。

Publication Date March 1, 2016, midnight
Registration Date March 3, 2016, 2:19 p.m.
Last Update Nov. 14, 2016, 5:56 p.m.
Affected System
オラクル
MySQL 5.6.29 およびそれ以前
MySQL 5.7.11 およびそれ以前
Oracle Communications Session Border Controller 7.2.0
Oracle Communications Session Border Controller 7.3.0
XCP 2320 未満 (Fujitsu M10-1/M10-4/M10-4S サーバ)
OpenSSL Project
OpenSSL 1.0.1s 未満
OpenSSL 1.0.2g 未満の 1.0.2
日立
Cosminexus Application Server Enterprise Version 6
Cosminexus Application Server Standard Version 6
Cosminexus Application Server Version 5 
Cosminexus Developer Light Version 6 
Cosminexus Developer Professional Version 6 
Cosminexus Developer Standard Version 6 
Cosminexus Developer Version 5 
Cosminexus Primary Server Base Version 6
Cosminexus Primary Server Version 6
Hitachi Web Server 
Hitachi Web Server - Security Enhancement
uCosminexus Application Server Express
uCosminexus Application Server Standard-R
uCosminexus Application Server Enterprise 
uCosminexus Application Server Smart Edition 
uCosminexus Application Server Standard 
uCosminexus Developer 01
uCosminexus Developer Professional
uCosminexus Developer Professional for Plug-in
uCosminexus Developer Light 
uCosminexus Developer Standard 
uCosminexus Primary Server Base
uCosminexus Service Architect 
uCosminexus Service Platform 
uCosminexus Service Platform - Messaging
ヒューレット・パッカード・エンタープライズ
HPE BladeSystem c-Class Virtual Connect (VC) ファームウェア 4.30 から VC 4.45
HPE Insight Controlサーバー配備 すべてのバージョン
HPE Oneview for VMware vCenter 7.8.1 以前のリリース
HPE Virtual Connect Flex-10 10Gb Enet Module
HPE Virtual Connect Flex-10/10D Module for c-Class BladeSystem
HPE Virtual Connect FlexFabric 10Gb/24-port Module for c-Class BladeSystem
HPE Virtual Connect FlexFabric-20/40 F8 Module for c-Class BladeSystem
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2016年03月03日]
  掲載
[2016年03月15日]
  影響を受けるシステム:内容を更新
  ベンダ情報:レッドハット (DROWN - Cross-protocol attack on TLS using SSLv2 (CVE-2016-0800)) を追加
  参考情報:National Vulnerability Database (NVD) (CVE-2016-0800) を追加
  CVSS による深刻度:内容を更新
  CWE による脆弱性タイプ一覧:CWE-ID を追加
[2016年03月17日]
  ベンダ情報:ターボリナックス (TLSA-2016-8) を追加
[2016年05月27日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  CVSS による深刻度:内容を更新
  ベンダ情報:日立 (HS16-015) を追加
  ベンダ情報:パルスセキュア (SA40168) を追加
  ベンダ情報:オラクル (Oracle Critical Patch Update CVSS V2 Risk Matrices - April 2016) を追加
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - April 2016) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - April 2016 Risk Matrices) を追加
  ベンダ情報:オラクル (April 2016 Critical Patch Update Released) を追加
  参考情報:ICS-CERT ADVISORY (ICSA-16-103-03) を追加
[2016年06月27日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBMU03607) を追加
  ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBMU03601) を追加
  ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBGN03569) を追加
[2016年07月27日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2016) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - July 2016 Risk Matrices) を追加
  ベンダ情報:オラクル (July 2016 Critical Patch Update Released) を追加
[2016年08月05日]
  ベンダ情報:レッドハット (RHSA-2016:1519) を追加
[2016年10月26日]
  ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBGN03587) を追加
  ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBHF03579) を追加
  ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBMU03573) を追加
  ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBMU03575) を追加
  ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBNS03571) を追加
  ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBNS03625) を追加
[2016年11月14日]
  ベンダ情報:オラクル (Oracle Solaris Third Party Bulletin - April 2016) を追加
  ベンダ情報:オラクル (Oracle Solaris Third Party Bulletin - January 2016) を追加
  ベンダ情報:オラクル (Oracle Linux Bulletin - January 2016) を追加
  ベンダ情報:オラクル (Oracle VM Server for x86 Bulletin - July 2016) を追加
  ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBNS03661) を追加		 Feb. 17, 2018, 10:37 a.m.