製品・ソフトウェアに関する情報

JVN脆弱性詳細

OpenSSL の ephemeral ECDH ciphersuite におけるサービス運用妨害 (アプリケーションクラッシュ) の脆弱性

タイトル	OpenSSL の ephemeral ECDH ciphersuite におけるサービス運用妨害 (アプリケーションクラッシュ) の脆弱性
概要	OpenSSL の ephemeral ECDH ciphersuite は、ハンドシェイクメッセージを処理している間、スレッドの安全性を確認しないため、サービス運用妨害 (アプリケーションクラッシュ) 状態となる脆弱性が存在します。
想定される影響	第三者により、TLS プロトコルに違反する out-of-order メッセージを介して、サービス運用妨害 (アプリケーションクラッシュ) 状態にされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2011年9月6日0:00
登録日	2011年9月28日15:12
最終更新日	2013年6月7日11:07

影響を受けるシステム

OpenSSL Project

OpenSSL 0.9.8 through 0.9.8s

OpenSSL 1.0.0e 未満の 1.0.x

アップル

Apple Mac OS X 10.6.8

Apple Mac OS X v10.7 から v10.7.5

Apple Mac OS X v10.8 から v10.8.3

Apple Mac OS X Server 10.6.8

Apple Mac OS X Server v10.7 から v10.7.5

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2011-3210	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3210
National Vulnerability Database (NVD)
2	CVE-2011-3210	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-3210

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-399	https://jvndb.jvn.jp/ja/cwe/CWE-399.html

ベンダー情報

No	名前	URL
Apple Mailing Lists
1	APPLE-SA-2013-06-04-1	http://lists.apple.com/archives/security-announce/2013/Jun/msg00000.html
Apple Security Updates
2	HT5784	http://support.apple.com/kb/HT5784
Apple セキュリティアップデート
3	HT5784	http://support.apple.com/kb/HT5784?viewlocale=ja_JP
OpenSSL
4	21337	http://cvs.openssl.org/chngview?cn=21337
OpenSSL Security Advisory
5	secadv_20110906	http://openssl.org/news/secadv_20110906.txt

その他

No	名前	URL
JVN
1	JVNVU#92046435	http://jvn.jp/cert/JVNVU92046435/index.html

変更履歴

No	変更内容	変更日
0	[2011年09月28日] 掲載 [2013年06月07日] 影響を受けるシステム：アップル (HT5784) の情報を追加ベンダ情報：アップル (HT5784) を追加ベンダ情報：アップル (APPLE-SA-2013-06-04-1) を追加	2018年2月17日10:37

NVD脆弱性情報

CVE-2011-3210

概要	The ephemeral ECDH ciphersuite functionality in OpenSSL 0.9.8 through 0.9.8r and 1.0.x before 1.0.0e does not ensure thread safety during processing of handshake messages from clients, which allows remote attackers to cause a denial of service (daemon crash) via out-of-order messages that violate the TLS protocol.
公表日	2011年9月22日19:55
登録日	2021年1月28日16:39
最終更新日	2024年11月21日10:29

影響を受けるソフトウェアの構成

関連情報、対策とツール

No	URL	タグ
1	http://cvs.openssl.org/chngview?cn=21337	Patch
2	http://lists.apple.com/archives/security-announce/2013/Jun/msg00000.html
3	http://marc.info/?l=bugtraq&m=132750648501816&w=2
4	http://marc.info/?l=bugtraq&m=132750648501816&w=2
5	http://marc.info/?l=bugtraq&m=133226187115472&w=2
6	http://marc.info/?l=bugtraq&m=133226187115472&w=2
7	http://openssl.org/news/secadv_20110906.txt	Vendor Advisory
8	http://secunia.com/advisories/57353
9	http://support.apple.com/kb/HT5784
10	http://www.mandriva.com/security/advisories?name=MDVSA-2011:137
11	http://www.securitytracker.com/id?1026012
12	http://www-01.ibm.com/support/docview.wss?uid=ssg1S1004564
13	https://bugzilla.redhat.com/show_bug.cgi?id=736079
14	http://cvs.openssl.org/chngview?cn=21337	Patch
15	https://bugzilla.redhat.com/show_bug.cgi?id=736079
16	http://www-01.ibm.com/support/docview.wss?uid=ssg1S1004564
17	http://www.securitytracker.com/id?1026012
18	http://www.mandriva.com/security/advisories?name=MDVSA-2011:137
19	http://support.apple.com/kb/HT5784
20	http://secunia.com/advisories/57353
21	http://openssl.org/news/secadv_20110906.txt	Vendor Advisory
22	http://marc.info/?l=bugtraq&m=133226187115472&w=2
23	http://marc.info/?l=bugtraq&m=133226187115472&w=2
24	http://marc.info/?l=bugtraq&m=132750648501816&w=2
25	http://marc.info/?l=bugtraq&m=132750648501816&w=2
26	http://lists.apple.com/archives/security-announce/2013/Jun/msg00000.html

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-399	リソース管理の問題	https://cwe.mitre.org/data/definitions/399.html