製品・ソフトウェアに関する情報

JVN脆弱性詳細

SHA-1 におけるなりすまし攻撃を実行される脆弱性

タイトル	SHA-1 におけるなりすまし攻撃を実行される脆弱性
概要	SHA-1 は、衝突の耐久性がないため、なりすまし攻撃を実行される脆弱性が存在します。本件の CVE-ID は、SHA-1 の同問題を示す共通の参照番号として採番されました。補足情報 : CWE による脆弱性タイプは、CWE-326: Inadequate Encryption Strength (不適切な暗号強度) と識別されています。 http://cwe.mitre.org/data/definitions/326.html
想定される影響	攻撃者により、なりすまし攻撃を実行される可能性があります。
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
公表日	2005年2月15日0:00
登録日	2016年10月25日16:50
最終更新日	2016年10月25日16:50

CVSS3.0 : 警告
スコア	5.9
ベクター	CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

CVSS2.0 : 警告
スコア	4.3
ベクター	AV:N/AC:M/Au:N/C:P/I:N/A:N

影響を受けるシステム

Google

Google Chrome

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2005-4900	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-4900
National Vulnerability Database (NVD)
2	CVE-2005-4900	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2005-4900

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	名前	URL
Google
1	An update on SHA-1 certificates in Chrome	https://security.googleblog.com/2015/12/an-update-on-sha-1-certificates-in.html
2	Google Chrome	https://www.google.com/intl/ja/chrome/browser/features.html
3	The SHAppening: freestart collisions for SHA-1	https://sites.google.com/site/itstheshappening/

その他

No	名前	URL
関連文書
1	New Cryptanalytic Results Against SHA-1	https://www.schneier.com/blog/archives/2005/08/new_cryptanalyt.html
2	SHA-1 Broken	https://www.schneier.com/blog/archives/2005/02/sha1_broken.html

変更履歴

No	変更内容	変更日
0	[2016年10月25日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2005-4900

概要	SHA-1 is not collision resistant, which makes it easier for context-dependent attackers to conduct spoofing attacks, as demonstrated by attacks on the use of SHA-1 in TLS 1.2. NOTE: this CVE exists to provide a common identifier for referencing this SHA-1 issue; the existence of an identifier is not, by itself, a technology recommendation.
公表日	2016年10月15日1:59
登録日	2021年1月29日17:59
最終更新日	2024年11月21日9:05

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:google:chrome::::::::			47.0.2526.111

関連情報、対策とツール

No	URL	タグ
1	http://ia.cr/2007/474	Third Party Advisory
2	http://ia.cr/2007/474	Third Party Advisory
3	http://shattered.io/
4	http://shattered.io/
5	http://www.cwi.nl/news/2017/cwi-and-google-announce-first-collision-industry-security-standard-sha-1
6	http://www.cwi.nl/news/2017/cwi-and-google-announce-first-collision-industry-security-standard-sha-1
7	http://www.securityfocus.com/bid/12577
8	http://www.securityfocus.com/bid/12577
9	https://arstechnica.com/security/2017/02/at-deaths-door-for-years-widely-used-sha1-function-is-now-dead/
10	https://arstechnica.com/security/2017/02/at-deaths-door-for-years-widely-used-sha1-function-is-now-dead/
11	https://kc.mcafee.com/corporate/index?page=content&id=SB10340
12	https://kc.mcafee.com/corporate/index?page=content&id=SB10340
13	https://security.googleblog.com/2015/12/an-update-on-sha-1-certificates-in.html	Third Party Advisory
14	https://security.googleblog.com/2015/12/an-update-on-sha-1-certificates-in.html	Third Party Advisory
15	https://security.googleblog.com/2017/02/announcing-first-sha1-collision.html
16	https://security.googleblog.com/2017/02/announcing-first-sha1-collision.html
17	https://sites.google.com/site/itstheshappening	Third Party Advisory
18	https://sites.google.com/site/itstheshappening	Third Party Advisory
19	https://www.schneier.com/blog/archives/2005/02/sha1_broken.html	Third Party Advisory
20	https://www.schneier.com/blog/archives/2005/02/sha1_broken.html	Third Party Advisory
21	https://www.schneier.com/blog/archives/2005/08/new_cryptanalyt.html	Third Party Advisory
22	https://www.schneier.com/blog/archives/2005/08/new_cryptanalyt.html	Third Party Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-326	不適切な暗号強度	https://cwe.mitre.org/data/definitions/326.html