製品・ソフトウェアに関する情報

JVN脆弱性詳細

Nettle の ecc-256.c の ecc_256_modq 関数における脆弱性

タイトル	Nettle の ecc-256.c の ecc_256_modq 関数における脆弱性
概要	Nettle の ecc-256.c の ecc_256_modq 関数は、P-256 NIST 楕円曲線の実装においてキャリー伝播 (carry propagation) を適切に処理せず、不正な出力を引き起こすため、不特定の影響を受ける脆弱性が存在します。本脆弱性は、CVE-2015-8803 とは異なる脆弱性です。
想定される影響	攻撃者により、不特定の影響を受ける可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2015年12月10日0:00
登録日	2016年3月7日15:27
最終更新日	2016年3月7日15:27

影響を受けるシステム

Novell

Leap 42.1

openSUSE 13.1

openSUSE 13.2

openSUSE 13.1

openSUSE 13.2

Canonical

Ubuntu 14.04 LTS

Ubuntu 15.10

Ubuntu 14.04 LTS

Ubuntu 15.10

Nettle project

Nettle 3.2 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2015-8805	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8805
2	CVE-2015-8805	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8805
National Vulnerability Database (NVD)
3	CVE-2015-8805	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8805
4	CVE-2015-8805	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8805

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-310	https://jvndb.jvn.jp/ja/cwe/CWE-310.html
2	CWE-310	https://jvndb.jvn.jp/ja/cwe/CWE-310.html

ベンダー情報

No	名前	URL
GitLab
1	Fixed miscomputation bugs in secp-256r1 modulo functions.	https://git.lysator.liu.se/nettle/nettle/commit/c71d2c9d20eeebb985e3872e4550137209e3ce4d
2	Fixed miscomputation bugs in secp-256r1 modulo functions.	https://git.lysator.liu.se/nettle/nettle/commit/c71d2c9d20eeebb985e3872e4550137209e3ce4d
opensuse-updates
3	openSUSE-SU-2016:0475	http://lists.opensuse.org/opensuse-updates/2016-02/msg00091.html
4	openSUSE-SU-2016:0475	http://lists.opensuse.org/opensuse-updates/2016-02/msg00091.html
5	openSUSE-SU-2016:0477	http://lists.opensuse.org/opensuse-updates/2016-02/msg00093.html
6	openSUSE-SU-2016:0477	http://lists.opensuse.org/opensuse-updates/2016-02/msg00093.html
7	openSUSE-SU-2016:0486	http://lists.opensuse.org/opensuse-updates/2016-02/msg00100.html
8	openSUSE-SU-2016:0486	http://lists.opensuse.org/opensuse-updates/2016-02/msg00100.html
Ubuntu Security Notice
9	USN-2897-1	http://www.ubuntu.com/usn/USN-2897-1/
10	USN-2897-1	http://www.ubuntu.com/usn/USN-2897-1/

変更履歴

No	変更内容	変更日
0	[2016年03月07日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2015-8805

概要	The ecc_256_modq function in ecc-256.c in Nettle before 3.2 does not properly handle carry propagation and produces incorrect output in its implementation of the P-256 NIST elliptic curve, which allows attackers to have unspecified impact via unknown vectors, a different vulnerability than CVE-2015-8803.
公表日	2016年2月24日4:59
登録日	2021年1月26日14:59
最終更新日	2024年11月21日11:39

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:nettle_project:nettle::::::::			3.1.1

構成2	以上	以下	より上	未満
cpe:2.3:o:canonical:ubuntu_linux:15.10:::::::*
cpe:2.3:o:canonical:ubuntu_linux:14.04::::lts:::
cpe:2.3:o:opensuse:leap:42.1:::::::*
cpe:2.3:o:opensuse:opensuse:13.1:::::::*
cpe:2.3:o:opensuse:opensuse:13.2:::::::*

関連情報、対策とツール

No	URL	タグ
1	http://lists.opensuse.org/opensuse-updates/2016-02/msg00091.html
2	http://lists.opensuse.org/opensuse-updates/2016-02/msg00091.html
3	http://lists.opensuse.org/opensuse-updates/2016-02/msg00093.html
4	http://lists.opensuse.org/opensuse-updates/2016-02/msg00093.html
5	http://lists.opensuse.org/opensuse-updates/2016-02/msg00100.html
6	http://lists.opensuse.org/opensuse-updates/2016-02/msg00100.html
7	http://rhn.redhat.com/errata/RHSA-2016-2582.html
8	http://rhn.redhat.com/errata/RHSA-2016-2582.html
9	http://www.openwall.com/lists/oss-security/2016/02/02/2
10	http://www.openwall.com/lists/oss-security/2016/02/02/2
11	http://www.openwall.com/lists/oss-security/2016/02/03/1
12	http://www.openwall.com/lists/oss-security/2016/02/03/1
13	http://www.securityfocus.com/bid/84272
14	http://www.securityfocus.com/bid/84272
15	http://www.ubuntu.com/usn/USN-2897-1
16	http://www.ubuntu.com/usn/USN-2897-1
17	https://blog.fuzzing-project.org/38-Miscomputations-of-elliptic-curve-scalar-multiplications-in-Nettle.html
18	https://blog.fuzzing-project.org/38-Miscomputations-of-elliptic-curve-scalar-multiplications-in-Nettle.html
19	https://git.lysator.liu.se/nettle/nettle/commit/c71d2c9d20eeebb985e3872e4550137209e3ce4d	Patch
20	https://git.lysator.liu.se/nettle/nettle/commit/c71d2c9d20eeebb985e3872e4550137209e3ce4d	Patch

共通脆弱性一覧