製品・ソフトウェアに関する情報
脆弱性検索
jBCrypt におけるストレッチング処理に関する脆弱性
タイトル jBCrypt におけるストレッチング処理に関する脆弱性
概要

jBCrypt はパスワードのハッシュ値を計算する Java 実装です。jBCrypt には、ストレッチング処理の回数を指定する引数を最大の 31 に設定した場合に整数オーバーフローが発生し、ストレッチング処理が正しく行われなくなる問題が存在します。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 上妻 宜人 氏

想定される影響 遠隔の第三者によってパスワードのハッシュ値を取得された場合に、総当たり攻撃によって容易にパスワードを解読される可能性があります。
対策

[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。
公表日 2015年2月27日0:00
登録日 2015年2月27日12:05
最終更新日 2015年3月3日15:55
CVSS2.0 : 注意
スコア 2.6
ベクター AV:N/AC:H/Au:N/C:P/I:N/A:N
影響を受けるシステム
mindrot.org
jBCrypt 0.3 およびそれ以前
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
0 [2015年02月27日]
  掲載
[2015年03月03日]
  参考情報:National Vulnerability Database (NVD) (CVE-2015-0886) を追加		 2018年2月17日10:37
NVD脆弱性情報
CVE-2015-0886
概要

Integer overflow in the crypt_raw method in the key-stretching implementation in jBCrypt before 0.4 makes it easier for remote attackers to determine cleartext values of password hashes via a brute-force attack against hashes associated with the maximum exponent.

公表日 2015年2月28日11:59
登録日 2021年1月26日14:45
最終更新日 2024年11月21日11:23
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:mindrot:jbcrypt:*:*:*:*:*:*:*:* 0.4
構成2 以上 以下 より上 未満
cpe:2.3:o:fedoraproject:fedora:22:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:20:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:21:*:*:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧