製品・ソフトウェアに関する情報

JVN脆弱性詳細

OpenSSL の dtls1_process_out_of_seq_message 関数におけるサービス運用妨害 (DoS) の脆弱性

タイトル	OpenSSL の dtls1_process_out_of_seq_message 関数におけるサービス運用妨害 (DoS) の脆弱性
概要	OpenSSL の dtls1_process_out_of_seq_message 関数には、DTLS レコードの処理に不備があるため、サービス運用妨害 (DoS) 状態となる脆弱性が存在します。
想定される影響	重複した、または現在のシーケンスナンバーよりはるかに大きいシーケンスナンバーを持つ DTLS レコードにより、サービス運用妨害 (DoS) 状態にされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2009年5月19日0:00
登録日	2009年8月12日10:56
最終更新日	2010年3月12日14:44

CVSS2.0 : 警告
スコア	5
ベクター	AV:N/AC:L/Au:N/C:N/I:N/A:P

影響を受けるシステム

レッドハット

Red Hat Enterprise Linux 5 (server)

Red Hat Enterprise Linux Desktop 5.0 (client)

RHEL Desktop Workstation 5 (client)

IBM

IBM AIX 5.2

IBM AIX 5.3

IBM AIX 6.1

OpenSSL Project

OpenSSL 0.9.8m 未満

サイバートラスト株式会社

Asianux Server 3 (x86)

Asianux Server 3 (x86-64)

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-1378	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1378
National Vulnerability Database (NVD)
2	CVE-2009-1378	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-1378

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-399	https://jvndb.jvn.jp/ja/cwe/CWE-399.html

ベンダー情報

No	名前	URL
Asianux Technical Support Network
1	openssl-0.9.8e-12AXS3	https://tsn.miraclelinux.com/tsn_local/index.php?m=errata&a=detail&eid=745
IBM
2	4712	http://www14.software.ibm.com/webapp/set2/subscriptions/pqvcmjd?mode=18&ID=4712
3	4731	http://www14.software.ibm.com/webapp/set2/subscriptions/pqvcmjd?mode=18&ID=4731
OpenSSL
4	18188	http://cvs.openssl.org/chngview?cn=18188
5	changelog	http://www.openssl.org/news/changelog.html
Red Hat Security Advisory
6	RHSA-2009:1335	https://rhn.redhat.com/errata/RHSA-2009-1335.html
レッドハットセキュリティーアップデート
7	RHSA-2009:1335	https://www.jp.redhat.com/support/errata/RHSA/RHSA-2009-1335J.html

その他

No	名前	URL
Secunia Advisory
1	SA35128	http://secunia.com/advisories/35128
SecurityFocus
2	35001	http://www.securityfocus.com/bid/35001
SecurityTracker
3	1022241	http://www.securitytracker.com/id?1022241
VUPEN Security
4	VUPEN/ADV-2009-1377	http://www.vupen.com/english/advisories/2009/1377

変更履歴

No	変更内容	変更日
0	[2009年08月12日] 掲載 [2009年09月29日] 影響を受けるシステム：ミラクル・リナックス (openssl-0.9.8e-12AXS3) の情報を追加影響を受けるシステム：レッドハット (RHSA-2009:1335) の情報を追加ベンダ情報：ミラクル・リナックス (openssl-0.9.8e-12AXS3) を追加ベンダ情報：レッドハット (RHSA-2009:1335) を追加 [2010年03月12日] 影響を受けるシステム：OpenSSL Project (changelog) の情報を更新ベンダ情報：OpenSSL Project (changelog) を追加	2018年2月17日10:37

NVD脆弱性情報

CVE-2009-1378

概要	Multiple memory leaks in the dtls1_process_out_of_seq_message function in ssl/d1_both.c in OpenSSL 0.9.8k and earlier 0.9.8 versions allow remote attackers to cause a denial of service (memory consumption) via DTLS records that (1) are duplicates or (2) have sequence numbers much greater than current sequence numbers, aka "DTLS fragment handling memory leak."
公表日	2009年5月20日4:30
登録日	2021年1月29日13:17
最終更新日	2024年2月8日3:02

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:openssl:openssl::::::::				0.9.8	0.9.8m

構成2	以上	以下	より上	未満
cpe:2.3:o:canonical:ubuntu_linux:9.04:::::::*
cpe:2.3:o:canonical:ubuntu_linux:8.10:::::::*
cpe:2.3:o:canonical:ubuntu_linux:8.04::::-:::
cpe:2.3:o:canonical:ubuntu_linux:6.06:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	http://www.securityfocus.com/bid/35001	BID	Broken Link Third Party Advisory VDB Entry
2	http://marc.info/?l=openssl-dev&m=124263491424212&w=2	MLIST	Exploit Mailing List Third Party Advisory
3	https://launchpad.net/bugs/cve/2009-1378	MISC	Third Party Advisory
4	http://secunia.com/advisories/35128	SECUNIA	Not Applicable Third Party Advisory
5	http://www.openwall.com/lists/oss-security/2009/05/18/1	MLIST	Mailing List Third Party Advisory
6	http://marc.info/?l=openssl-dev&m=124247679213944&w=2	MLIST	Mailing List Patch Third Party Advisory
7	http://cvs.openssl.org/chngview?cn=18188	CONFIRM	Broken Link Patch Vendor Advisory
8	http://rt.openssl.org/Ticket/Display.html?id=1931&user=guest&pass=guest	CONFIRM	Broken Link Third Party Advisory
9	http://www.mandriva.com/security/advisories?name=MDVSA-2009:120	MANDRIVA	Not Applicable
10	http://www.vupen.com/english/advisories/2009/1377	VUPEN	Permissions Required Third Party Advisory
11	http://www.securitytracker.com/id?1022241	SECTRACK	Broken Link Third Party Advisory VDB Entry
12	http://lists.opensuse.org/opensuse-security-announce/2009-06/msg00003.html	SUSE	Mailing List Third Party Advisory
13	http://secunia.com/advisories/35416	SECUNIA	Not Applicable Third Party Advisory
14	http://secunia.com/advisories/35461	SECUNIA	Not Applicable Third Party Advisory
15	http://www.ubuntu.com/usn/USN-792-1	UBUNTU	Third Party Advisory
16	http://secunia.com/advisories/35571	SECUNIA	Not Applicable Third Party Advisory
17	ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2009-009.txt.asc	NETBSD	Broken Link Third Party Advisory
18	http://secunia.com/advisories/35729	SECUNIA	Not Applicable Third Party Advisory
19	http://voodoo-circle.sourceforge.net/sa/sa-20091012-01.html	CONFIRM	Third Party Advisory
20	http://secunia.com/advisories/37003	SECUNIA	Not Applicable Third Party Advisory
21	http://sourceforge.net/mailarchive/message.php?msg_name=4AD43807.7080105%40users.sourceforge.net	CONFIRM	Broken Link
22	http://security.gentoo.org/glsa/glsa-200912-01.xml	GENTOO	Third Party Advisory
23	http://secunia.com/advisories/38761	SECUNIA	Not Applicable Third Party Advisory
24	http://slackware.com/security/viewer.php?l=slackware-security&y=2010&m=slackware-security.663049	SLACKWARE	Mailing List Third Party Advisory
25	http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02029444	HP	Broken Link Third Party Advisory
26	http://secunia.com/advisories/38834	SECUNIA	Not Applicable Third Party Advisory
27	http://lists.vmware.com/pipermail/security-announce/2010/000082.html	MLIST	Third Party Advisory
28	http://secunia.com/advisories/38794	SECUNIA	Not Applicable Third Party Advisory
29	http://www.vupen.com/english/advisories/2010/0528	VUPEN	Permissions Required Third Party Advisory
30	https://kb.bluecoat.com/index?page=content&id=SA50	CONFIRM	Broken Link
31	http://secunia.com/advisories/42724	SECUNIA	Not Applicable Third Party Advisory
32	http://secunia.com/advisories/42733	SECUNIA	Not Applicable Third Party Advisory
33	http://www.redhat.com/support/errata/RHSA-2009-1335.html	REDHAT	Third Party Advisory
34	http://secunia.com/advisories/36533	SECUNIA	Not Applicable Third Party Advisory
35	https://www.exploit-db.com/exploits/8720	EXPLOIT-DB	Exploit Third Party Advisory VDB Entry
36	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A7229	OVAL	Broken Link Tool Signature
37	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A11309	OVAL	Broken Link Tool Signature

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-401	有効期限後のメモリの解放の欠如	https://cwe.mitre.org/data/definitions/401.html