製品・ソフトウェアに関する情報
脆弱性検索
OpenSSL における指紋ベースの認証ブラックリスト保護メカニズムを破られる脆弱性
タイトル OpenSSL における指紋ベースの認証ブラックリスト保護メカニズムを破られる脆弱性
概要

OpenSSL は、証明書データの特定の制限を処理しないため、指紋ベースの認証ブラックリスト保護メカニズムを破られる脆弱性が存在します。

想定される影響 第三者により、証明書の署名されていない部分の巧妙に細工されたデータを含められることで、指紋ベースの認証ブラックリスト保護メカニズムを破られる可能性があります。
対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日 2014年12月20日0:00
登録日 2015年1月13日16:48
最終更新日 2016年8月9日18:15
CVSS2.0 : 警告
スコア 5
ベクター AV:N/AC:L/Au:N/C:N/I:P/A:N
影響を受けるシステム
ヒューレット・パッカード
HP IceWall MCRP 2.1
HP IceWall MCRP 3.0
HP IceWall SSO Agent 8.0
HP IceWall SSO Agent 8.0 2007 Update Release 2
HP IceWall SSO Dfw 10.0
HP IceWall SSO Dfw 8.0
HP IceWall SSO Dfw 8.0 R1
HP IceWall SSO Dfw 8.0 R2
HP IceWall SSO Dfw 8.0 R3
HP ThinPro Linux (ARM) 4.1
HP ThinPro Linux (ARM) 4.2
HP ThinPro Linux (ARM) 4.3
HP ThinPro Linux (ARM) 4.4
HP ThinPro Linux (x86) 4.1
HP ThinPro Linux (x86) 4.2
HP ThinPro Linux (x86) 4.3
HP ThinPro Linux (x86) 4.4
HP ThinPro Linux (x86) 5.0
HP ThinPro Linux (x86) 5.1
オラクル
Integrated Lights Out Manager (Sun System Firmware) 8.7.2.b 未満
Integrated Lights Out Manager (Sun System Firmware) 9.4.2e 未満
MySQL 5.6.22 およびそれ以前
Oracle Communications Core Session Manager 7.2.5
Oracle Communications Core Session Manager 7.3.5
Oracle Fusion Middleware の Oracle Mobile Security Suite MSS 3.0
Oracle Solaris 10
Oracle Solaris 11.2
Oracle Virtualization の Oracle Secure Global Desktop 4.63
Oracle Virtualization の Oracle Secure Global Desktop 4.71
Oracle Virtualization の Oracle Secure Global Desktop 5.1
SPARC Enterprise M3000 サーバ 
SPARC Enterprise M4000 サーバ 
SPARC Enterprise M5000 サーバ 
SPARC Enterprise M8000 サーバ 
SPARC Enterprise M9000 サーバ 
XCP 1120 未満 (SPARC Enterprise M3000/M4000/M5000/M8000/M9000 サーバ)
XCP 2260 未満 (Fujitsu M10-1/M10-4/M10-4S サーバ)
OpenSSL Project
OpenSSL 0.9.8zd 未満
OpenSSL 1.0.0p 未満の 1.0.0
OpenSSL 1.0.1k 未満の 1.0.1
アップル
Apple Mac OS X 10.10 から 10.10.2
Apple Mac OS X 10.8.5
Apple Mac OS X 10.9.5
日本電気
IP38X/107e Rev.8.03.42以降
IP38X/1100 Rev.8.03.37以降
IP38X/1200 全てのリビジョン
IP38X/1210 全てのリビジョン
IP38X/1500 Rev.8.03.37以降
IP38X/3000 全てのリビジョン
IP38X/3500 全てのリビジョン
IP38X/5000 全てのリビジョン
IP38X/58i 全てのリビジョン
IP38X/810 Rev.11.01.21以前
IP38X/FW120 Rev.11.03.08以前
IP38X/N500 全てのリビジョン
IP38X/SR100 全てのリビジョン
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
0 [2015年01月13日]
  掲載
[2015年02月27日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Third Party Bulletin - January 2015) を追加
[2015年03月19日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:シスコシステムズ (cisco-sa-20150310-ssl) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBUX03244 SSRT101885) を追加
  ベンダ情報:レッドハット (RHSA-2015:0066) を追加
[2015年03月26日]
  ベンダ情報:ターボリナックス (TLSA-2015-2) を追加
[2015年04月10日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:アップル (HT204659) を追加
  ベンダ情報:アップル (APPLE-SA-2015-04-08-2 OS X 10.10.3 and Security Update 2015-004) を追加
  参考情報:JVN (JVNVU#91828320) を追加
[2015年04月20日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - April 2015) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - April 2015 Risk Matrices) を追加
  ベンダ情報:オラクル (April 2015 Critical Patch Update Released) を追加
[2015年06月08日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:レッドハット (RHSA-2015:0800) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBGN03299) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBHF03289) を追加
[2015年06月26日]
  ベンダ情報:バッファロー (株式会社バッファロー の告知ページ) を追加
[2015年07月29日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2015) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - July 2015 Risk Matrices) を追加
  ベンダ情報:オラクル (July 2015 Critical Patch Update Released) を追加
[2015年10月27日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:日本電気 (NV15-017) を追加
[2015年11月06日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - October 2015) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - October 2015 Risk Matrices) を追加
  ベンダ情報:オラクル (October 2015 Critical Patch Update Released) を追加
[2016年08月09日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2016) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - July 2016 Risk Matrices) を追加
  ベンダ情報:オラクル (July 2016 Critical Patch Update Released) を追加		 2018年2月17日10:37
NVD脆弱性情報
CVE-2014-8275
概要

OpenSSL before 0.9.8zd, 1.0.0 before 1.0.0p, and 1.0.1 before 1.0.1k does not enforce certain constraints on certificate data, which allows remote attackers to defeat a fingerprint-based certificate-blacklist protection mechanism by including crafted data within a certificate's unsigned portion, related to crypto/asn1/a_verify.c, crypto/dsa/dsa_asn1.c, crypto/ecdsa/ecs_vrf.c, and crypto/x509/x_all.c.

公表日 2015年1月9日11:59
登録日 2021年1月26日15:20
最終更新日 2024年11月21日11:18
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:openssl:openssl:1.0.1j:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.0n:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.0c:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.0i:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.1h:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.0m:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.1c:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.1g:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.0h:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.0e:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.0f:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.0d:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.0j:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.1a:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.0o:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:*:*:*:*:*:*:*:* 0.9.8zc
cpe:2.3:a:openssl:openssl:1.0.1d:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.0k:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.1b:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.1e:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.1f:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.0l:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.0a:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.1i:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.0b:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.0g:*:*:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧