製品・ソフトウェアに関する情報

JVN脆弱性詳細

OpenSSL におけるメモリ二重開放の脆弱性

タイトル	OpenSSL におけるメモリ二重開放の脆弱性
概要	OpenSSL には、X509_V_FLAG_POLICY_CHECK が有効になっている場合に、メモリを二重に解放する不備があるため、詳細不明な影響を受ける脆弱性が存在します。
想定される影響	第三者により、ポリシーチェックの失敗を誘発されることで、詳細不明な影響を受ける可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2012年1月4日0:00
登録日	2012年1月10日15:39
最終更新日	2013年6月7日11:15

CVSS2.0 : 危険
スコア	9.3
ベクター	AV:N/AC:M/Au:N/C:C/I:C/A:C

影響を受けるシステム

OpenSSL Project

OpenSSL 0.9.8s 未満の 0.9.8

アップル

Apple Mac OS X 10.6.8

Apple Mac OS X v10.7 から v10.7.5

Apple Mac OS X v10.8 から v10.8.3

Apple Mac OS X Server 10.6.8

Apple Mac OS X Server v10.7 から v10.7.5

VMware

VMware ESX 3.5

VMware ESX 4.0

VMware ESX 4.1

VMware ESXi 3.5

VMware ESXi 4.0

VMware ESXi 4.1

VMware ESXi 5.0

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2011-4109	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-4109
National Vulnerability Database (NVD)
2	CVE-2011-4109	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-4109

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-399	https://jvndb.jvn.jp/ja/cwe/CWE-399.html

ベンダー情報

No	名前	URL
Apple Mailing Lists
1	APPLE-SA-2013-06-04-1	http://lists.apple.com/archives/security-announce/2013/Jun/msg00000.html
Apple Security Updates
2	HT5784	http://support.apple.com/kb/HT5784
Apple セキュリティアップデート
3	HT5784	http://support.apple.com/kb/HT5784?viewlocale=ja_JP
OpenSSL Security Advisory
4	DTLS Plaintext Recovery Attack	http://www.openssl.org/news/secadv_20120104.txt
SECURITY BLOG
5	Multiple vulnerabilities in OpenSSL	https://blogs.oracle.com/sunsecurity/entry/multiple_vulnerabilities_in_openssl
VMware Security Advisories
6	VMSA-2012-0013	http://www.vmware.com/jp/support/support-resources/advisories/VMSA-2012-0013.html

その他

No	名前	URL
JVN
1	JVNVU#91284469	http://jvn.jp/cert/JVNVU91284469/
2	JVNVU#92046435	http://jvn.jp/cert/JVNVU92046435/index.html

変更履歴

No	変更内容	変更日
0	[2012年01月10日] 掲載 [2012年04月16日] ベンダ情報：オラクル (Multiple vulnerabilities in OpenSSL) を追加 [2012年11月02日] 影響を受けるシステム：VMware (VMSA-2012-0013) の情報を追加ベンダ情報：VMware (VMSA-2012-0013) を追加 [2013年06月07日] 影響を受けるシステム：アップル (HT5784) の情報を追加ベンダ情報：アップル (HT5784) を追加ベンダ情報：アップル (APPLE-SA-2013-06-04-1) を追加	2018年2月17日10:37

NVD脆弱性情報

CVE-2011-4109

概要	Double free vulnerability in OpenSSL 0.9.8 before 0.9.8s, when X509_V_FLAG_POLICY_CHECK is enabled, allows remote attackers to have an unspecified impact by triggering failure of a policy check.
公表日	2012年1月6日10:55
登録日	2021年1月28日16:39
最終更新日	2024年11月21日10:31

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:openssl:openssl:0.9.8b:::::::*
cpe:2.3:a:openssl:openssl:0.9.8m:::::::*
cpe:2.3:a:openssl:openssl:0.9.8c:::::::*
cpe:2.3:a:openssl:openssl:0.9.8n:::::::*
cpe:2.3:a:openssl:openssl:0.9.8p:::::::*
cpe:2.3:a:openssl:openssl:0.9.8e:::::::*
cpe:2.3:a:openssl:openssl:0.9.8g:::::::*
cpe:2.3:a:openssl:openssl:0.9.8k:::::::*
cpe:2.3:a:openssl:openssl:0.9.8d:::::::*
cpe:2.3:a:openssl:openssl:0.9.8j:::::::*
cpe:2.3:a:openssl:openssl:0.9.8l:::::::*
cpe:2.3:a:openssl:openssl:0.9.8r:::::::*
cpe:2.3:a:openssl:openssl:0.9.8a:::::::*
cpe:2.3:a:openssl:openssl:0.9.8o:::::::*
cpe:2.3:a:openssl:openssl:0.9.8q:::::::*
cpe:2.3:a:openssl:openssl:0.9.8:::::::*
cpe:2.3:a:openssl:openssl:0.9.8i:::::::*
cpe:2.3:a:openssl:openssl:0.9.8f:::::::*
cpe:2.3:a:openssl:openssl:0.9.8h:::::::*

関連情報、対策とツール

No	URL	タグ
1	http://aix.software.ibm.com/aix/efixes/security/openssl_advisory3.asc
2	http://lists.apple.com/archives/security-announce/2013/Jun/msg00000.html
3	http://lists.opensuse.org/opensuse-security-announce/2012-01/msg00018.html
4	http://marc.info/?l=bugtraq&m=132750648501816&w=2
5	http://marc.info/?l=bugtraq&m=132750648501816&w=2
6	http://marc.info/?l=bugtraq&m=134039053214295&w=2
7	http://marc.info/?l=bugtraq&m=134039053214295&w=2
8	http://rhn.redhat.com/errata/RHSA-2012-1306.html
9	http://rhn.redhat.com/errata/RHSA-2012-1307.html
10	http://rhn.redhat.com/errata/RHSA-2012-1308.html
11	http://secunia.com/advisories/48528
12	http://support.apple.com/kb/HT5784
13	http://www.debian.org/security/2012/dsa-2390
14	http://www.kb.cert.org/vuls/id/737740	US Government Resource
15	http://www.mandriva.com/security/advisories?name=MDVSA-2012:006
16	http://www.mandriva.com/security/advisories?name=MDVSA-2012:007
17	http://www.openssl.org/news/secadv_20120104.txt	Vendor Advisory
18	https://exchange.xforce.ibmcloud.com/vulnerabilities/72129
19	http://aix.software.ibm.com/aix/efixes/security/openssl_advisory3.asc
20	https://exchange.xforce.ibmcloud.com/vulnerabilities/72129
21	http://www.openssl.org/news/secadv_20120104.txt	Vendor Advisory
22	http://www.mandriva.com/security/advisories?name=MDVSA-2012:007
23	http://www.mandriva.com/security/advisories?name=MDVSA-2012:006
24	http://www.kb.cert.org/vuls/id/737740	US Government Resource
25	http://www.debian.org/security/2012/dsa-2390
26	http://support.apple.com/kb/HT5784
27	http://secunia.com/advisories/48528
28	http://rhn.redhat.com/errata/RHSA-2012-1308.html
29	http://rhn.redhat.com/errata/RHSA-2012-1307.html
30	http://rhn.redhat.com/errata/RHSA-2012-1306.html
31	http://marc.info/?l=bugtraq&m=134039053214295&w=2
32	http://marc.info/?l=bugtraq&m=134039053214295&w=2
33	http://marc.info/?l=bugtraq&m=132750648501816&w=2
34	http://marc.info/?l=bugtraq&m=132750648501816&w=2
35	http://lists.opensuse.org/opensuse-security-announce/2012-01/msg00018.html
36	http://lists.apple.com/archives/security-announce/2013/Jun/msg00000.html

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-399	リソース管理の問題	https://cwe.mitre.org/data/definitions/399.html

構成1	以上	以下	より上	未満
cpe:2.3:a:openssl:openssl:0.9.8b:::::::*
cpe:2.3:a:openssl:openssl:0.9.8m:::::::*
cpe:2.3:a:openssl:openssl:0.9.8c:::::::*
cpe:2.3:a:openssl:openssl:0.9.8n:::::::*
cpe:2.3:a:openssl:openssl:0.9.8p:::::::*
cpe:2.3:a:openssl:openssl:0.9.8e:::::::*
cpe:2.3:a:openssl:openssl:0.9.8g:::::::*
cpe:2.3:a:openssl:openssl:0.9.8k:::::::*
cpe:2.3:a:openssl:openssl:0.9.8d:::::::*
cpe:2.3:a:openssl:openssl:0.9.8j:::::::*
cpe:2.3:a:openssl:openssl:0.9.8l:::::::*
cpe:2.3:a:openssl:openssl:0.9.8r:::::::*
cpe:2.3:a:openssl:openssl:0.9.8a:::::::*
cpe:2.3:a:openssl:openssl:0.9.8o:::::::*
cpe:2.3:a:openssl:openssl:0.9.8q:::::::*
cpe:2.3:a:openssl:openssl:0.9.8:::::::*
cpe:2.3:a:openssl:openssl:0.9.8i:::::::*
cpe:2.3:a:openssl:openssl:0.9.8f:::::::*
cpe:2.3:a:openssl:openssl:0.9.8h:::::::*