製品・ソフトウェアに関する情報
脆弱性検索
OpenSSL の s3_srvr.c の ssl3_get_cert_verify 関数におけるアクセス権を取得される脆弱性
タイトル OpenSSL の s3_srvr.c の ssl3_get_cert_verify 関数におけるアクセス権を取得される脆弱性
概要

OpenSSL の s3_srvr.c の ssl3_get_cert_verify 関数は、CertificateVerify メッセージを必要としない Diffie-Hellman (DH) 証明書を伴うクライアント認証を受け入れるため、アクセス権を取得される脆弱性が存在します。

想定される影響 第三者により、DH サポートを伴う認証局を認めるサーバへの巧妙に細工された TLS Handshake Protocol トラフィックを介して、秘密鍵の情報がない状態でアクセス権を取得される可能性があります。
対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日 2015年1月8日0:00
登録日 2015年1月13日16:49
最終更新日 2016年9月30日10:54
CVSS2.0 : 警告
スコア 5
ベクター AV:N/AC:L/Au:N/C:N/I:P/A:N
影響を受けるシステム
ヒューレット・パッカード
HP ThinPro Linux (ARM)
HP ThinPro Linux (x86)
HP Version Control Agent 
HP Virtual Connect Enterprise Manager SDK 
オラクル
Integrated Lights Out Manager (Sun System Firmware) 8.7.2.b 未満
Integrated Lights Out Manager (Sun System Firmware) 9.4.2e 未満
MySQL 5.6.22 およびそれ以前
Oracle Communications Core Session Manager 7.2.5
Oracle Communications Core Session Manager 7.3.5
Oracle Fusion Middleware の Oracle Mobile Security Suite MSS 3.0
Oracle Solaris 11.2
Oracle Virtualization の Oracle Secure Global Desktop 4.63
Oracle Virtualization の Oracle Secure Global Desktop 4.71
Oracle Virtualization の Oracle Secure Global Desktop 5.1
OpenSSL Project
OpenSSL 1.0.0p 未満の 1.0.0
OpenSSL 1.0.1k 未満の 1.0.1
ヒューレット・パッカード・エンタープライズ
HPE Insight Control 
HPE Insight Control サーバープロビジョニング
HPE Matrix Operating Environment 
HPE Server Migration Pack 
HPE Systems Insight Manager 
HPE Version Control Repository Manager 
System Management Homepage 
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
0 [2015年01月13日]
  掲載
[2015年02月27日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Third Party Bulletin - January 2015) を追加
[2015年03月20日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:シスコシステムズ (cisco-sa-20150310-ssl) を追加
  ベンダ情報:レッドハット (RHSA-2015:0066) を追加
[2015年04月08日]
  ベンダ情報:ヒューレット・パッカード (HPSBHF03289) を追加
[2015年04月20日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - April 2015) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - April 2015 Risk Matrices) を追加
  ベンダ情報:オラクル (April 2015 Critical Patch Update Released) を追加
[2015年06月26日]
  ベンダ情報:バッファロー (株式会社バッファロー の告知ページ) を追加
[2015年07月29日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2015) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - July 2015 Risk Matrices) を追加
  ベンダ情報:オラクル (July 2015 Critical Patch Update Released) を追加
[2015年10月27日]
  ベンダ情報:日本電気 (NV15-017) を追加
[2015年11月06日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - October 2015) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - October 2015 Risk Matrices) を追加
  ベンダ情報:オラクル (October 2015 Critical Patch Update Released) を追加
[2016年08月09日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2016) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - July 2016 Risk Matrices) を追加
  ベンダ情報:オラクル (July 2016 Critical Patch Update Released) を追加
[2016年09月30日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBMU03612) を追加
  ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBMU03611) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBMU03380) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBMU03409) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBMU03396) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBMU03413) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBMU03397) を追加		 2018年2月17日10:37
NVD脆弱性情報
CVE-2015-0205
概要

The ssl3_get_cert_verify function in s3_srvr.c in OpenSSL 1.0.0 before 1.0.0p and 1.0.1 before 1.0.1k accepts client authentication with a Diffie-Hellman (DH) certificate without requiring a CertificateVerify message, which allows remote attackers to obtain access without knowledge of a private key via crafted TLS Handshake Protocol traffic to a server that recognizes a Certification Authority with DH support.

公表日 2015年1月9日11:59
登録日 2021年1月26日14:43
最終更新日 2024年11月21日11:22
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:openssl:openssl:1.0.1j:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.0n:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.0c:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.0i:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.1h:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.0m:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.1c:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.1g:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.0h:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.0e:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.0f:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.0d:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.0j:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.1a:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.0o:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.1d:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.0k:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.1b:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.1e:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.1f:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.0l:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.0a:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.1i:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.0b:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.0g:*:*:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧