製品・ソフトウェアに関する情報

JVN脆弱性詳細

OpenSSL の DTLS の実装の d1_both.c におけるサービス運用妨害 (DoS) の脆弱性

タイトル	OpenSSL の DTLS の実装の d1_both.c におけるサービス運用妨害 (DoS) の脆弱性
概要	OpenSSL の DTLS の実装の d1_both.c には、サービス運用妨害 (メモリ消費) 状態にされる脆弱性が存在します。
想定される影響	第三者により、過度に大きな length 値に合致するメモリ割り当てを誘発する巧妙に細工された DTLS ハンドシェイクメッセージを介して、サービス運用妨害 (メモリ消費) 状態にされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2014年8月6日0:00
登録日	2014年8月15日16:46
最終更新日	2015年6月9日17:59

CVSS2.0 : 警告
スコア	5
ベクター	AV:N/AC:L/Au:N/C:N/I:N/A:P

影響を受けるシステム

ヒューレット・パッカード

HP Virtual Connect 8Gb 24ポートファイバーチャネルモジュール 3.00 未満 (VC (バーチャルコネクト) 4.40 未満)

OpenSSL Project

OpenSSL 0.9.8 以上 0.9.8zb 未満

OpenSSL 1.0.0 以上 1.0.0n 未満

OpenSSL 1.0.1 以上 1.0.1i 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2014-3506	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3506
National Vulnerability Database (NVD)
2	CVE-2014-3506	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3506

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-399	https://jvndb.jvn.jp/ja/cwe/CWE-399.html

ベンダー情報

No	名前	URL
HP Security Bulletin
1	HPSBHF03293	http://marc.info/?l=bugtraq&m=142660345230545&w=2
2	HPSBOV03099 SSRT101686	http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?lang=en&cc=us&objectID=c04426586
3	HPSBUX03095 SSRT101674	http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?lang=en&cc=us&objectID=c04404655
IBM Support Document
4	1682293	http://www-01.ibm.com/support/docview.wss?uid=swg21682293
5	1686997	http://www-01.ibm.com/support/docview.wss?uid=swg21686997
OpenSSL Project
6	Fix DTLS handshake message size checks.	https://git.openssl.org/gitweb/?p=openssl.git;a=commit;h=1250f12613b61758675848f6600ebd914ccd7636
OpenSSL Security Advisory
7	DTLS memory exhaustion (CVE-2014-3506)	https://www.openssl.org/news/secadv_20140806.txt
Oracle
8	ELSA-2014-1053	http://linux.oracle.com/errata/ELSA-2014-1053.html
Red Hat Security Advisory
9	RHSA-2014:1256	https://rhn.redhat.com/errata/RHSA-2014-1256.html
10	RHSA-2014:1297	https://rhn.redhat.com/errata/RHSA-2014-1297.html
Security Advisory
11	Huawei-SA-20141008-OpenSSL	http://www.huawei.com/en/security/psirt/security-bulletins/security-advisories/hw-372998.htm
Turbolinux Security Advisory
12	TLSA-2014-6	http://www.turbolinux.co.jp/security/2014/TLSA-2014-6j.html

変更履歴

No	変更内容	変更日
0	[2014年08月15日] 掲載 [2014年09月17日] ベンダ情報：オラクル (ELSA-2014-1053) を追加 [2014年11月14日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：ヒューレット・パッカード (HPSBUX03095 SSRT101674) を追加ベンダ情報：ヒューレット・パッカード (HPSBOV03099 SSRT101686) を追加ベンダ情報：レッドハット (RHSA-2014:1297) を追加ベンダ情報：レッドハット (RHSA-2014:1256) を追加 [2014年11月28日] ベンダ情報：IBM (1682293) を追加ベンダ情報：IBM (1686997) を追加ベンダ情報：Huawei (Huawei-SA-20141008-OpenSSL) を追加 [2015年04月08日] ベンダ情報：ターボリナックス (TLSA-2014-6) を追加 [2015年06月09日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：ヒューレット・パッカード (HPSBHF03293) を追加	2018年2月17日10:37

NVD脆弱性情報

CVE-2014-3506

概要	d1_both.c in the DTLS implementation in OpenSSL 0.9.8 before 0.9.8zb, 1.0.0 before 1.0.0n, and 1.0.1 before 1.0.1i allows remote attackers to cause a denial of service (memory consumption) via crafted DTLS handshake messages that trigger memory allocations corresponding to large length values.
公表日	2014年8月14日8:55
登録日	2021年1月26日15:10
最終更新日	2024年11月21日11:08

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:openssl:openssl:0.9.8b:::::::*
cpe:2.3:a:openssl:openssl:0.9.8m:::::::*
cpe:2.3:a:openssl:openssl:1.0.1:beta2::::::
cpe:2.3:a:openssl:openssl:0.9.8c:::::::*
cpe:2.3:a:openssl:openssl:1.0.0c:::::::*
cpe:2.3:a:openssl:openssl:1.0.0i:::::::*
cpe:2.3:a:openssl:openssl:1.0.0:beta1::::::
cpe:2.3:a:openssl:openssl:1.0.1h:::::::*
cpe:2.3:a:openssl:openssl:0.9.8n:::::::*
cpe:2.3:a:openssl:openssl:1.0.0:beta2::::::
cpe:2.3:a:openssl:openssl:0.9.8p:::::::*
cpe:2.3:a:openssl:openssl:1.0.0m:::::::*
cpe:2.3:a:openssl:openssl:1.0.1c:::::::*
cpe:2.3:a:openssl:openssl:0.9.8e:::::::*
cpe:2.3:a:openssl:openssl:0.9.8u:::::::*
cpe:2.3:a:openssl:openssl:0.9.8za:::::::*
cpe:2.3:a:openssl:openssl:1.0.1g:::::::*
cpe:2.3:a:openssl:openssl:0.9.8g:::::::*
cpe:2.3:a:openssl:openssl:1.0.0h:::::::*
cpe:2.3:a:openssl:openssl:0.9.8k:::::::*
cpe:2.3:a:openssl:openssl:0.9.8m:beta1::::::
cpe:2.3:a:openssl:openssl:0.9.8d:::::::*
cpe:2.3:a:openssl:openssl:1.0.0:beta3::::::
cpe:2.3:a:openssl:openssl:1.0.0e:::::::*
cpe:2.3:a:openssl:openssl:1.0.1:beta3::::::
cpe:2.3:a:openssl:openssl:1.0.0f:::::::*
cpe:2.3:a:openssl:openssl:0.9.8j:::::::*
cpe:2.3:a:openssl:openssl:1.0.0d:::::::*
cpe:2.3:a:openssl:openssl:1.0.0j:::::::*
cpe:2.3:a:openssl:openssl:0.9.8s:::::::*
cpe:2.3:a:openssl:openssl:1.0.1a:::::::*
cpe:2.3:a:openssl:openssl:1.0.1:beta1::::::
cpe:2.3:a:openssl:openssl:0.9.8l:::::::*
cpe:2.3:a:openssl:openssl:1.0.1d:::::::*
cpe:2.3:a:openssl:openssl:1.0.0k:::::::*
cpe:2.3:a:openssl:openssl:0.9.8r:::::::*
cpe:2.3:a:openssl:openssl:0.9.8t:::::::*
cpe:2.3:a:openssl:openssl:1.0.0:beta4::::::
cpe:2.3:a:openssl:openssl:0.9.8a:::::::*
cpe:2.3:a:openssl:openssl:1.0.0:::::::*
cpe:2.3:a:openssl:openssl:1.0.1b:::::::*
cpe:2.3:a:openssl:openssl:0.9.8o:::::::*
cpe:2.3:a:openssl:openssl:0.9.8q:::::::*
cpe:2.3:a:openssl:openssl:0.9.8w:::::::*
cpe:2.3:a:openssl:openssl:1.0.1e:::::::*
cpe:2.3:a:openssl:openssl:1.0.0:beta5::::::
cpe:2.3:a:openssl:openssl:0.9.8:::::::*
cpe:2.3:a:openssl:openssl:1.0.1f:::::::*
cpe:2.3:a:openssl:openssl:1.0.0l:::::::*
cpe:2.3:a:openssl:openssl:0.9.8v:::::::*
cpe:2.3:a:openssl:openssl:0.9.8i:::::::*
cpe:2.3:a:openssl:openssl:0.9.8f:::::::*
cpe:2.3:a:openssl:openssl:0.9.8y:::::::*
cpe:2.3:a:openssl:openssl:1.0.0a:::::::*
cpe:2.3:a:openssl:openssl:0.9.8h:::::::*
cpe:2.3:a:openssl:openssl:0.9.8x:::::::*
cpe:2.3:a:openssl:openssl:1.0.0b:::::::*
cpe:2.3:a:openssl:openssl:1.0.1:::::::*
cpe:2.3:a:openssl:openssl:1.0.0g:::::::*

関連情報、対策とツール

No	URL	タグ
1	ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2014-008.txt.asc
2	ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2014-008.txt.asc
3	http://aix.software.ibm.com/aix/efixes/security/openssl_advisory10.asc
4	http://aix.software.ibm.com/aix/efixes/security/openssl_advisory10.asc
5	http://linux.oracle.com/errata/ELSA-2014-1052.html
6	http://linux.oracle.com/errata/ELSA-2014-1052.html
7	http://linux.oracle.com/errata/ELSA-2014-1053.html
8	http://linux.oracle.com/errata/ELSA-2014-1053.html
9	http://lists.fedoraproject.org/pipermail/package-announce/2014-August/136470.html
10	http://lists.fedoraproject.org/pipermail/package-announce/2014-August/136470.html
11	http://lists.fedoraproject.org/pipermail/package-announce/2014-August/136473.html
12	http://lists.fedoraproject.org/pipermail/package-announce/2014-August/136473.html
13	http://lists.opensuse.org/opensuse-security-announce/2016-03/msg00011.html
14	http://lists.opensuse.org/opensuse-security-announce/2016-03/msg00011.html
15	http://lists.opensuse.org/opensuse-updates/2014-08/msg00036.html
16	http://lists.opensuse.org/opensuse-updates/2014-08/msg00036.html
17	http://marc.info/?l=bugtraq&m=140853041709441&w=2
18	http://marc.info/?l=bugtraq&m=140853041709441&w=2
19	http://marc.info/?l=bugtraq&m=140853041709441&w=2
20	http://marc.info/?l=bugtraq&m=140853041709441&w=2
21	http://marc.info/?l=bugtraq&m=141077370928502&w=2
22	http://marc.info/?l=bugtraq&m=141077370928502&w=2
23	http://marc.info/?l=bugtraq&m=142660345230545&w=2
24	http://marc.info/?l=bugtraq&m=142660345230545&w=2
25	http://marc.info/?l=bugtraq&m=142660345230545&w=2
26	http://marc.info/?l=bugtraq&m=142660345230545&w=2
27	http://rhn.redhat.com/errata/RHSA-2014-1256.html
28	http://rhn.redhat.com/errata/RHSA-2014-1256.html
29	http://rhn.redhat.com/errata/RHSA-2014-1297.html
30	http://rhn.redhat.com/errata/RHSA-2014-1297.html
31	http://secunia.com/advisories/58962
32	http://secunia.com/advisories/58962
33	http://secunia.com/advisories/59221
34	http://secunia.com/advisories/59221
35	http://secunia.com/advisories/59700
36	http://secunia.com/advisories/59700
37	http://secunia.com/advisories/59710
38	http://secunia.com/advisories/59710
39	http://secunia.com/advisories/59743
40	http://secunia.com/advisories/59743
41	http://secunia.com/advisories/59756
42	http://secunia.com/advisories/59756
43	http://secunia.com/advisories/60022
44	http://secunia.com/advisories/60022
45	http://secunia.com/advisories/60221
46	http://secunia.com/advisories/60221
47	http://secunia.com/advisories/60493
48	http://secunia.com/advisories/60493
49	http://secunia.com/advisories/60684
50	http://secunia.com/advisories/60684
51	http://secunia.com/advisories/60687
52	http://secunia.com/advisories/60687
53	http://secunia.com/advisories/60778
54	http://secunia.com/advisories/60778
55	http://secunia.com/advisories/60803
56	http://secunia.com/advisories/60803
57	http://secunia.com/advisories/60824
58	http://secunia.com/advisories/60824
59	http://secunia.com/advisories/60917
60	http://secunia.com/advisories/60917
61	http://secunia.com/advisories/60921
62	http://secunia.com/advisories/60921
63	http://secunia.com/advisories/60938
64	http://secunia.com/advisories/60938
65	http://secunia.com/advisories/61017
66	http://secunia.com/advisories/61017
67	http://secunia.com/advisories/61040
68	http://secunia.com/advisories/61040
69	http://secunia.com/advisories/61100
70	http://secunia.com/advisories/61100
71	http://secunia.com/advisories/61184
72	http://secunia.com/advisories/61184
73	http://secunia.com/advisories/61250
74	http://secunia.com/advisories/61250
75	http://secunia.com/advisories/61775
76	http://secunia.com/advisories/61775
77	http://secunia.com/advisories/61959
78	http://secunia.com/advisories/61959
79	http://security.gentoo.org/glsa/glsa-201412-39.xml
80	http://security.gentoo.org/glsa/glsa-201412-39.xml
81	http://support.f5.com/kb/en-us/solutions/public/15000/500/sol15573.html
82	http://support.f5.com/kb/en-us/solutions/public/15000/500/sol15573.html
83	http://www.debian.org/security/2014/dsa-2998
84	http://www.debian.org/security/2014/dsa-2998
85	http://www.huawei.com/en/security/psirt/security-bulletins/security-advisories/hw-372998.htm
86	http://www.huawei.com/en/security/psirt/security-bulletins/security-advisories/hw-372998.htm
87	http://www.mandriva.com/security/advisories?name=MDVSA-2014:158
88	http://www.mandriva.com/security/advisories?name=MDVSA-2014:158
89	http://www.securityfocus.com/bid/69076
90	http://www.securityfocus.com/bid/69076
91	http://www.securitytracker.com/id/1030693
92	http://www.securitytracker.com/id/1030693
93	http://www-01.ibm.com/support/docview.wss?uid=nas8N1020240
94	http://www-01.ibm.com/support/docview.wss?uid=nas8N1020240
95	http://www-01.ibm.com/support/docview.wss?uid=swg21682293
96	http://www-01.ibm.com/support/docview.wss?uid=swg21682293
97	http://www-01.ibm.com/support/docview.wss?uid=swg21683389
98	http://www-01.ibm.com/support/docview.wss?uid=swg21683389
99	http://www-01.ibm.com/support/docview.wss?uid=swg21686997
100	http://www-01.ibm.com/support/docview.wss?uid=swg21686997
101	https://bugzilla.redhat.com/show_bug.cgi?id=1127500
102	https://bugzilla.redhat.com/show_bug.cgi?id=1127500
103	https://exchange.xforce.ibmcloud.com/vulnerabilities/95160
104	https://exchange.xforce.ibmcloud.com/vulnerabilities/95160
105	https://git.openssl.org/gitweb/?p=openssl.git%3Ba=commit%3Bh=1250f12613b61758675848f6600ebd914ccd7636
106	https://git.openssl.org/gitweb/?p=openssl.git%3Ba=commit%3Bh=1250f12613b61758675848f6600ebd914ccd7636
107	https://lists.balabit.hu/pipermail/syslog-ng-announce/2014-September/000196.html
108	https://lists.balabit.hu/pipermail/syslog-ng-announce/2014-September/000196.html
109	https://www.freebsd.org/security/advisories/FreeBSD-SA-14:18.openssl.asc
110	https://www.freebsd.org/security/advisories/FreeBSD-SA-14:18.openssl.asc
111	https://www.openssl.org/news/secadv_20140806.txt	Vendor Advisory
112	https://www.openssl.org/news/secadv_20140806.txt	Vendor Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-399	リソース管理の問題	https://cwe.mitre.org/data/definitions/399.html

構成1	以上	以下	より上	未満
cpe:2.3:a:openssl:openssl:0.9.8b:::::::*
cpe:2.3:a:openssl:openssl:0.9.8m:::::::*
cpe:2.3:a:openssl:openssl:1.0.1:beta2::::::
cpe:2.3:a:openssl:openssl:0.9.8c:::::::*
cpe:2.3:a:openssl:openssl:1.0.0c:::::::*
cpe:2.3:a:openssl:openssl:1.0.0i:::::::*
cpe:2.3:a:openssl:openssl:1.0.0:beta1::::::
cpe:2.3:a:openssl:openssl:1.0.1h:::::::*
cpe:2.3:a:openssl:openssl:0.9.8n:::::::*
cpe:2.3:a:openssl:openssl:1.0.0:beta2::::::
cpe:2.3:a:openssl:openssl:0.9.8p:::::::*
cpe:2.3:a:openssl:openssl:1.0.0m:::::::*
cpe:2.3:a:openssl:openssl:1.0.1c:::::::*
cpe:2.3:a:openssl:openssl:0.9.8e:::::::*
cpe:2.3:a:openssl:openssl:0.9.8u:::::::*
cpe:2.3:a:openssl:openssl:0.9.8za:::::::*
cpe:2.3:a:openssl:openssl:1.0.1g:::::::*
cpe:2.3:a:openssl:openssl:0.9.8g:::::::*
cpe:2.3:a:openssl:openssl:1.0.0h:::::::*
cpe:2.3:a:openssl:openssl:0.9.8k:::::::*
cpe:2.3:a:openssl:openssl:0.9.8m:beta1::::::
cpe:2.3:a:openssl:openssl:0.9.8d:::::::*
cpe:2.3:a:openssl:openssl:1.0.0:beta3::::::
cpe:2.3:a:openssl:openssl:1.0.0e:::::::*
cpe:2.3:a:openssl:openssl:1.0.1:beta3::::::
cpe:2.3:a:openssl:openssl:1.0.0f:::::::*
cpe:2.3:a:openssl:openssl:0.9.8j:::::::*
cpe:2.3:a:openssl:openssl:1.0.0d:::::::*
cpe:2.3:a:openssl:openssl:1.0.0j:::::::*
cpe:2.3:a:openssl:openssl:0.9.8s:::::::*
cpe:2.3:a:openssl:openssl:1.0.1a:::::::*
cpe:2.3:a:openssl:openssl:1.0.1:beta1::::::
cpe:2.3:a:openssl:openssl:0.9.8l:::::::*
cpe:2.3:a:openssl:openssl:1.0.1d:::::::*
cpe:2.3:a:openssl:openssl:1.0.0k:::::::*
cpe:2.3:a:openssl:openssl:0.9.8r:::::::*
cpe:2.3:a:openssl:openssl:0.9.8t:::::::*
cpe:2.3:a:openssl:openssl:1.0.0:beta4::::::
cpe:2.3:a:openssl:openssl:0.9.8a:::::::*
cpe:2.3:a:openssl:openssl:1.0.0:::::::*
cpe:2.3:a:openssl:openssl:1.0.1b:::::::*
cpe:2.3:a:openssl:openssl:0.9.8o:::::::*
cpe:2.3:a:openssl:openssl:0.9.8q:::::::*
cpe:2.3:a:openssl:openssl:0.9.8w:::::::*
cpe:2.3:a:openssl:openssl:1.0.1e:::::::*
cpe:2.3:a:openssl:openssl:1.0.0:beta5::::::
cpe:2.3:a:openssl:openssl:0.9.8:::::::*
cpe:2.3:a:openssl:openssl:1.0.1f:::::::*
cpe:2.3:a:openssl:openssl:1.0.0l:::::::*
cpe:2.3:a:openssl:openssl:0.9.8v:::::::*
cpe:2.3:a:openssl:openssl:0.9.8i:::::::*
cpe:2.3:a:openssl:openssl:0.9.8f:::::::*
cpe:2.3:a:openssl:openssl:0.9.8y:::::::*
cpe:2.3:a:openssl:openssl:1.0.0a:::::::*
cpe:2.3:a:openssl:openssl:0.9.8h:::::::*
cpe:2.3:a:openssl:openssl:0.9.8x:::::::*
cpe:2.3:a:openssl:openssl:1.0.0b:::::::*
cpe:2.3:a:openssl:openssl:1.0.1:::::::*
cpe:2.3:a:openssl:openssl:1.0.0g:::::::*