製品・ソフトウェアに関する情報
脆弱性検索
OpenSSL の s23_srvr.c の ssl23_get_client_hello 関数におけるサービス運用妨害 (DoS) の脆弱性
タイトル OpenSSL の s23_srvr.c の ssl23_get_client_hello 関数におけるサービス運用妨害 (DoS) の脆弱性
概要

OpenSSL の s23_srvr.c の ssl23_get_client_hello 関数は、サポートされていないプロトコルを使用するという試行を適切に処理しないため、サービス運用妨害 (NULL ポインタデリファレンスおよびデーモンクラッシュ) 状態にされる脆弱性が存在します。 本脆弱性は、CVE-2014-3568 の修正後に問題となったものです。 補足情報 : CWE による脆弱性タイプは、CWE-476: NULL Pointer Dereference (NULL ポインタデリファレンス) と識別されています。 http://cwe.mitre.org/data/definitions/476.html

想定される影響 第三者により、予期せぬハンドシェイクを介して、サービス運用妨害 (NULL ポインタデリファレンスおよびデーモンクラッシュ) 状態にされる可能性があります。
対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日 2014年10月27日0:00
登録日 2014年12月25日14:26
最終更新日 2016年10月7日11:49
CVSS2.0 : 警告
スコア 5
ベクター AV:N/AC:L/Au:N/C:N/I:N/A:P
影響を受けるシステム
ヒューレット・パッカード
HP ThinPro Linux (ARM) 4.1
HP ThinPro Linux (ARM) 4.2
HP ThinPro Linux (ARM) 4.3
HP ThinPro Linux (ARM) 4.4
HP ThinPro Linux (x86) 4.1
HP ThinPro Linux (x86) 4.2
HP ThinPro Linux (x86) 4.3
HP ThinPro Linux (x86) 4.4
HP ThinPro Linux (x86) 5.0
HP ThinPro Linux (x86) 5.1
オラクル
Integrated Lights Out Manager (Sun System Firmware) 8.7.2.b 未満
Integrated Lights Out Manager (Sun System Firmware) 9.4.2e 未満
MySQL 5.6.22 およびそれ以前
Oracle Communications Core Session Manager 7.2.5
Oracle Communications Core Session Manager 7.3.5
Oracle Fusion Middleware の Oracle Mobile Security Suite MSS 3.0
Oracle Solaris 10
Oracle Solaris 11.2
Oracle Virtualization の Oracle Secure Global Desktop 4.63
Oracle Virtualization の Oracle Secure Global Desktop 4.71
Oracle Virtualization の Oracle Secure Global Desktop 5.1
OpenSSL Project
OpenSSL 0.9.8zc
OpenSSL 1.0.0o
OpenSSL 1.0.1j
アップル
Apple Mac OS X 10.10 から 10.10.2
Apple Mac OS X 10.8.5
Apple Mac OS X 10.9.5
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
0 [2014年12月25日]
  掲載
[2015年01月14日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:OpenSSL Project (no-ssl3 configuration sets method to NULL (CVE-2014-3569)) を追加
  参考情報:JVN (JVNVU#98974537) を追加
[2015年02月27日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Third Party Bulletin - January 2015) を追加
[2015年03月19日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:シスコシステムズ (cisco-sa-20150310-ssl) を追加
  ベンダ情報:OpenSSL Project (#3571: Re: [PATCH] Segfault in 1.0.1j BIO_reset() compiled with no-ssl2 no-ssl3) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBUX03244 SSRT101885) を追加
[2015年03月26日]
  ベンダ情報:ターボリナックス (TLSA-2015-2) を追加
[2015年04月10日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:アップル (HT204659) を追加
  ベンダ情報:アップル (APPLE-SA-2015-04-08-2 OS X 10.10.3 and Security Update 2015-004) を追加
  参考情報:JVN (JVNVU#91828320) を追加
[2015年04月17日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - April 2015) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - April 2015 Risk Matrices) を追加
  ベンダ情報:オラクル (April 2015 Critical Patch Update Released) を追加
[2015年06月22日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:ヒューレット・パッカード (HPSBHF03289) を追加
[2015年06月26日]
  ベンダ情報:バッファロー (株式会社バッファロー の告知ページ) を追加
[2015年07月29日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2015) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - July 2015 Risk Matrices) を追加
  ベンダ情報:オラクル (July 2015 Critical Patch Update Released) を追加
[2015年10月27日]
  ベンダ情報:日本電気 (NV15-017) を追加
[2015年11月06日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - October 2015) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - October 2015 Risk Matrices) を追加
  ベンダ情報:オラクル (October 2015 Critical Patch Update Released) を追加
[2016年08月09日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2016) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - July 2016 Risk Matrices) を追加
  ベンダ情報:オラクル (July 2016 Critical Patch Update Released) を追加
[2016年10月07日]
  ベンダ情報:ヒューレット・パッカード (HPSBMU03413) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBUX03162) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBMU03409) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBMU03380) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBOV03318) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBMU03397) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBMU03396) を追加
  ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBMU03611) を追加
  ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBMU03612) を追加		 2019年3月5日11:18
NVD脆弱性情報
CVE-2014-3569
概要

The ssl23_get_client_hello function in s23_srvr.c in OpenSSL 0.9.8zc, 1.0.0o, and 1.0.1j does not properly handle attempts to use unsupported protocols, which allows remote attackers to cause a denial of service (NULL pointer dereference and daemon crash) via an unexpected handshake, as demonstrated by an SSLv3 handshake to a no-ssl3 application with certain error handling. NOTE: this issue became relevant after the CVE-2014-3568 fix.

公表日 2014年12月24日20:59
登録日 2021年1月26日15:10
最終更新日 2024年11月21日11:08
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:openssl:openssl:1.0.1j:*:*:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧