製品・ソフトウェアに関する情報

JVN脆弱性詳細

OpenSSL におけるサービス運用妨害 (クラッシュ) の脆弱性

タイトル	OpenSSL におけるサービス運用妨害 (クラッシュ) の脆弱性
概要	OpenSSL は、DTLS アプリケーションを適切にサポートしないため、サービス運用妨害 (クラッシュ) 状態となる脆弱性が存在します。本脆弱性は CVE-2011-4108 に対する修正が不十分だったことによる脆弱性です。
想定される影響	第三者により、サービス運用妨害 (クラッシュ) 状態にされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2012年1月18日0:00
登録日	2012年1月24日16:06
最終更新日	2014年6月26日13:59

CVSS2.0 : 警告
スコア	5
ベクター	AV:N/AC:L/Au:N/C:N/I:N/A:P

影響を受けるシステム

ヒューレット・パッカード

HP-UX 11.11 PA (32 and 64)

HP-UX 11.23 (PA and IA)

HP-UX 11.31 (PA and IA)

OpenSSL Project

OpenSSL 0.9.8s

OpenSSL 1.0.0f

アップル

Apple Mac OS X 10.6.8

Apple Mac OS X v10.7 から v10.7.5

Apple Mac OS X v10.8 から v10.8.3

Apple Mac OS X Server 10.6.8

Apple Mac OS X Server v10.7 から v10.7.5

VMware

VMware ESX 3.5

VMware ESX 4.0

VMware ESX 4.1

VMware ESXi 3.5

VMware ESXi 4.0

VMware ESXi 4.1

VMware ESXi 5.0

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2012-0050	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0050
National Vulnerability Database (NVD)
2	CVE-2012-0050	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-0050
SECURITY BLOG
3	CVE-2012-0050 Denial of Service (DoS) vulnerability in OpenSSL	https://blogs.oracle.com/sunsecurity/entry/cve_2012_0050_denial_of

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-399	https://jvndb.jvn.jp/ja/cwe/CWE-399.html

ベンダー情報

No	名前	URL
Apple Mailing Lists
1	APPLE-SA-2013-06-04-1	http://lists.apple.com/archives/security-announce/2013/Jun/msg00000.html
Apple Security Updates
2	HT5784	http://support.apple.com/kb/HT5784
Apple セキュリティアップデート
3	HT5784	http://support.apple.com/kb/HT5784?viewlocale=ja_JP
Debian Security Advisory
4	DSA-2392	http://www.debian.org/security/2012/dsa-2392
HP Security Bulletin
5	HPSBOV02793 SSRT100891	http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?lang=en&cc=us&objectID=c03383940
6	HPSBUX02737 SSRT100747	http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03169289
IBM SECURITY ADVISORY
7	Multiple OpenSSL vulnerabilities	http://aix.software.ibm.com/aix/efixes/security/openssl_advisory3.asc
OpenSSL Security Advisory
8	DTLS DoS attack	http://www.openssl.org/news/secadv_20120118.txt
Security Advisories
9	MDVSA-2012:011	http://www.mandriva.com/en/support/security/advisories/?name=MDVSA-2012:011
Turbolinux Security Advisory
10	TLSA-2014-1	http://www.turbolinux.co.jp/security/2014/TLSA-2014-1j.html
VMware Security Advisories
11	VMSA-2012-0013	http://www.vmware.com/jp/support/support-resources/advisories/VMSA-2012-0013.html

その他

No	名前	URL
JVN
1	JVNVU#92046435	http://jvn.jp/cert/JVNVU92046435/index.html

変更履歴

No	変更内容	変更日
0	[2012年01月24日] 掲載 [2012年02月02日] 影響を受けるシステム：ヒューレット・パッカード (HPSBUX02737 SSRT100747) の情報を追加ベンダ情報：ヒューレット・パッカード (HPSBUX02737 SSRT100747) を追加 [2012年04月17日] ベンダ情報：オラクル (CVE-2012-0050 Denial of Service (DoS) vulnerability in OpenSSL) を追加 [2012年07月25日] ベンダ情報：IBM (Multiple OpenSSL vulnerabilities) を追加ベンダ情報：ヒューレット・パッカード (HPSBOV02793 SSRT100891) を追加 [2012年11月02日] 影響を受けるシステム：VMware (VMSA-2012-0013) の情報を追加ベンダ情報：VMware (VMSA-2012-0013) を追加 [2012年11月13日] タイトル：内容を更新概要：内容を更新想定される影響：内容を更新ベンダ情報：Mandriva, Inc. (MDVSA-2012:011) を追加ベンダ情報：Debian (DSA-2392) を追加 [2013年06月07日] 影響を受けるシステム：アップル (HT5784) の情報を追加ベンダ情報：アップル (HT5784) を追加ベンダ情報：アップル (APPLE-SA-2013-06-04-1) を追加 [2014年06月26日] ベンダ情報：ターボリナックス (TLSA-2014-1) を追加	2018年2月17日10:37

NVD脆弱性情報

CVE-2012-0050

概要	OpenSSL 0.9.8s and 1.0.0f does not properly support DTLS applications, which allows remote attackers to cause a denial of service (crash) via unspecified vectors related to an out-of-bounds read. NOTE: this vulnerability exists because of an incorrect fix for CVE-2011-4108.
公表日	2012年1月20日4:55
登録日	2021年1月28日14:52
最終更新日	2024年11月21日10:34

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:openssl:openssl:1.0.0f:::::::*
cpe:2.3:a:openssl:openssl:0.9.8s:::::::*

関連情報、対策とツール

No	URL	タグ
1	http://aix.software.ibm.com/aix/efixes/security/openssl_advisory3.asc
2	http://h20565.www2.hp.com/portal/site/hpsc/public/kb/docDisplay/?docId=emr_na-c03169289
3	http://h20565.www2.hp.com/portal/site/hpsc/public/kb/docDisplay/?docId=emr_na-c03169289
4	http://lists.apple.com/archives/security-announce/2013/Jun/msg00000.html
5	http://marc.info/?l=bugtraq&m=133951357207000&w=2
6	http://marc.info/?l=bugtraq&m=133951357207000&w=2
7	http://marc.info/?l=bugtraq&m=134039053214295&w=2
8	http://marc.info/?l=bugtraq&m=134039053214295&w=2
9	http://osvdb.org/78320
10	http://secunia.com/advisories/47631
11	http://secunia.com/advisories/47677
12	http://secunia.com/advisories/47755
13	http://secunia.com/advisories/48528
14	http://secunia.com/advisories/57353
15	http://support.apple.com/kb/HT5784
16	http://www.debian.org/security/2012/dsa-2392
17	http://www.mandriva.com/security/advisories?name=MDVSA-2012:011
18	http://www.openssl.org/news/secadv_20120118.txt	Vendor Advisory
19	http://www.securityfocus.com/bid/51563
20	http://www.securitytracker.com/id?1026548
21	http://www-01.ibm.com/support/docview.wss?uid=ssg1S1004564
22	http://aix.software.ibm.com/aix/efixes/security/openssl_advisory3.asc
23	http://www-01.ibm.com/support/docview.wss?uid=ssg1S1004564
24	http://www.securitytracker.com/id?1026548
25	http://www.securityfocus.com/bid/51563
26	http://www.openssl.org/news/secadv_20120118.txt	Vendor Advisory
27	http://www.mandriva.com/security/advisories?name=MDVSA-2012:011
28	http://www.debian.org/security/2012/dsa-2392
29	http://support.apple.com/kb/HT5784
30	http://secunia.com/advisories/57353
31	http://secunia.com/advisories/48528
32	http://secunia.com/advisories/47755
33	http://secunia.com/advisories/47677
34	http://secunia.com/advisories/47631
35	http://osvdb.org/78320
36	http://marc.info/?l=bugtraq&m=134039053214295&w=2
37	http://marc.info/?l=bugtraq&m=134039053214295&w=2
38	http://marc.info/?l=bugtraq&m=133951357207000&w=2
39	http://marc.info/?l=bugtraq&m=133951357207000&w=2
40	http://lists.apple.com/archives/security-announce/2013/Jun/msg00000.html
41	http://h20565.www2.hp.com/portal/site/hpsc/public/kb/docDisplay/?docId=emr_na-c03169289
42	http://h20565.www2.hp.com/portal/site/hpsc/public/kb/docDisplay/?docId=emr_na-c03169289

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-399	リソース管理の問題	https://cwe.mitre.org/data/definitions/399.html