製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

ARM mbed TLS における認証に関する脆弱性

タイトル	ARM mbed TLS における認証に関する脆弱性
概要	ARM mbed TLS には、認証に関する脆弱性が存在します。
想定される影響	情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2017年8月28日0:00
登録日	2017年10月2日15:39
最終更新日	2017年10月2日15:39

CVSS3.0 : 重要
スコア	8.1
ベクター	CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS2.0 : 警告
スコア	6.8
ベクター	AV:N/AC:M/Au:N/C:P/I:P/A:P

影響を受けるシステム

ARM Ltd.

ARM mbed TLS 1.3.21 未満

ARM mbed TLS 2.1.9 未満の 2.x

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2017-14032	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-14032
National Vulnerability Database (NVD)
2	CVE-2017-14032	https://nvd.nist.gov/vuln/detail/CVE-2017-14032

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-287	https://jvndb.jvn.jp/ja/cwe/CWE-287.html

ベンダー情報

No	名前	URL
ARM mbed
1	mbed TLS Security Advisory 2017-02	https://tls.mbed.org/tech-updates/security-advisories/mbedtls-security-advisory-2017-02
Debian Bug report logs
2	873557	https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=873557
GitHub
3	Improve behaviour on fatal errors	https://github.com/ARMmbed/mbedtls/commit/d15795acd5074e0b44e71f7ede8bdfe1b48591fc
4	Only return VERIFY_FAILED from a single point	https://github.com/ARMmbed/mbedtls/commit/31458a18788b0cf0b722acda9bb2f2fe13a3fb32

変更履歴

No	変更内容	変更日
0	[2017年10月02日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2017-14032

概要	ARM mbed TLS before 1.3.21 and 2.x before 2.1.9, if optional authentication is configured, allows remote attackers to bypass peer authentication via an X.509 certificate chain with many intermediates. NOTE: although mbed TLS was formerly known as PolarSSL, the releases shipped with the PolarSSL name are not affected.
公表日	2017年8月31日5:29
登録日	2021年1月26日13:15
最終更新日	2024年11月21日12:12

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:arm:mbed_tls:1.3.16:::::::*
cpe:2.3:a:arm:mbed_tls:1.3.15:::::::*
cpe:2.3:a:arm:mbed_tls:2.1.4:::::::*
cpe:2.3:a:arm:mbed_tls:2.4.2:::::::*
cpe:2.3:a:arm:mbed_tls:1.3.10:::::::*
cpe:2.3:a:arm:mbed_tls:2.1.9:::::::*
cpe:2.3:a:arm:mbed_tls:2.5.1:::::::*
cpe:2.3:a:arm:mbed_tls:1.3.18:::::::*
cpe:2.3:a:arm:mbed_tls:2.1.2:::::::*
cpe:2.3:a:arm:mbed_tls:2.1.7:::::::*
cpe:2.3:a:arm:mbed_tls:2.0.0:::::::*
cpe:2.3:a:arm:mbed_tls:2.3.0:::::::*
cpe:2.3:a:arm:mbed_tls:2.2.1:::::::*
cpe:2.3:a:arm:mbed_tls:2.1.8:::::::*
cpe:2.3:a:arm:mbed_tls:1.3.11:::::::*
cpe:2.3:a:arm:mbed_tls:2.2.0:::::::*
cpe:2.3:a:arm:mbed_tls:1.3.13:::::::*
cpe:2.3:a:arm:mbed_tls:1.3.20:::::::*
cpe:2.3:a:arm:mbed_tls:1.3.14:::::::*
cpe:2.3:a:arm:mbed_tls:2.1.1:::::::*
cpe:2.3:a:arm:mbed_tls:2.1.5:::::::*
cpe:2.3:a:arm:mbed_tls:2.1.0:::::::*
cpe:2.3:a:arm:mbed_tls:2.1.3:::::::*
cpe:2.3:a:arm:mbed_tls:1.3.12:::::::*
cpe:2.3:a:arm:mbed_tls:1.3.21:::::::*
cpe:2.3:a:arm:mbed_tls:2.6.2:::::::*
cpe:2.3:a:arm:mbed_tls:2.1.6:::::::*
cpe:2.3:a:arm:mbed_tls:2.4.0:::::::*
cpe:2.3:a:arm:mbed_tls:1.3.19:::::::*
cpe:2.3:a:arm:mbed_tls:1.3.17:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	http://www.debian.org/security/2017/dsa-3967
2	http://www.debian.org/security/2017/dsa-3967
3	https://bugs.debian.org/873557		Issue Tracking Patch Third Party Advisory
4	https://bugs.debian.org/873557		Issue Tracking Patch Third Party Advisory
5	https://github.com/ARMmbed/mbedtls/commit/31458a18788b0cf0b722acda9bb2f2fe13a3fb32		Issue Tracking Patch Third Party Advisory
6	https://github.com/ARMmbed/mbedtls/commit/31458a18788b0cf0b722acda9bb2f2fe13a3fb32		Issue Tracking Patch Third Party Advisory
7	https://github.com/ARMmbed/mbedtls/commit/d15795acd5074e0b44e71f7ede8bdfe1b48591fc		Issue Tracking Patch Third Party Advisory
8	https://github.com/ARMmbed/mbedtls/commit/d15795acd5074e0b44e71f7ede8bdfe1b48591fc		Issue Tracking Patch Third Party Advisory
9	https://tls.mbed.org/tech-updates/security-advisories/mbedtls-security-advisory-2017-02		Vendor Advisory
10	https://tls.mbed.org/tech-updates/security-advisories/mbedtls-security-advisory-2017-02		Vendor Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-287	不適切な認証	https://cwe.mitre.org/data/definitions/287.html