NVD脆弱性詳細

CVE-2003-0078

概要	ssl3_get_record in s3_pkt.c for OpenSSL before 0.9.7a and 0.9.6 before 0.9.6i does not perform a MAC computation if an incorrect block cipher padding is used, which causes an information leak (timing discrepancy) that may make it easier to launch cryptographic attacks that rely on distinguishing between padding and MAC verification errors, possibly leading to extraction of the original plaintext, aka the "Vaudenay timing attack."
公表日	2003年3月3日14:00
登録日	2021年1月29日18:02
最終更新日	2024年2月15日0:07

CVSS2.0 : MEDIUM
スコア	5.0
ベクター	AV:N/AC:L/Au:N/C:P/I:N/A:N
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃前の認証要否(Au)	不要
機密性への影響(C)	低
完全性への影響(I)	なし
可用性への影響(A)	なし
全ての特権を取得	いいえ
ユーザー権限を取得	いいえ
その他の権限を取得	いいえ
ユーザー操作が必要	いいえ

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:openssl:openssl:0.9.7:beta5::::::
cpe:2.3:a:openssl:openssl:0.9.7:beta3::::::
cpe:2.3:a:openssl:openssl:0.9.7:beta6::::::
cpe:2.3:a:openssl:openssl:0.9.6i:::::::*
cpe:2.3:a:openssl:openssl:0.9.7:beta2::::::
cpe:2.3:a:openssl:openssl:0.9.7:beta4::::::
cpe:2.3:a:openssl:openssl:0.9.7:beta1::::::
cpe:2.3:a:openssl:openssl::::::::				0.9.6i
cpe:2.3:a:openssl:openssl:0.9.7:-::::::

構成2	以上	以下	より上	未満
cpe:2.3:o:openbsd:openbsd:3.1:::::::*
cpe:2.3:o:freebsd:freebsd:4.5:::::::*
cpe:2.3:o:freebsd:freebsd:4.7:::::::*
cpe:2.3:o:freebsd:freebsd:4.4:::::::*
cpe:2.3:o:openbsd:openbsd:3.2:::::::*
cpe:2.3:o:freebsd:freebsd:4.2:::::::*
cpe:2.3:o:freebsd:freebsd:4.6:::::::*
cpe:2.3:o:freebsd:freebsd:4.3:::::::*
cpe:2.3:o:freebsd:freebsd:5.0:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	http://www.openssl.org/news/secadv_20030219.txt	CONFIRM	Broken Link Patch Vendor Advisory
2	http://www.debian.org/security/2003/dsa-253	DEBIAN	Broken Link Vendor Advisory
3	http://www.iss.net/security_center/static/11369.php	XF	Broken Link Vendor Advisory
4	http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000570	CONECTIVA	Broken Link
5	http://www.linuxsecurity.com/advisories/engarde_advisory-2874.html	ENGARDE	Broken Link
6	http://www.redhat.com/support/errata/RHSA-2003-062.html	REDHAT	Broken Link
7	http://www.redhat.com/support/errata/RHSA-2003-063.html	REDHAT	Broken Link
8	http://www.redhat.com/support/errata/RHSA-2003-082.html	REDHAT	Broken Link
9	http://www.redhat.com/support/errata/RHSA-2003-104.html	REDHAT	Broken Link
10	http://www.redhat.com/support/errata/RHSA-2003-205.html	REDHAT	Broken Link
11	ftp://patches.sgi.com/support/free/security/advisories/20030501-01-I	SGI	Broken Link
12	http://www.trustix.org/errata/2003/0005	TRUSTIX	Broken Link
13	http://www.mandrakesoft.com/security/advisories?name=MDKSA-2003:020	MANDRAKE	Broken Link
14	ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2003-001.txt.asc	NETBSD	Broken Link
15	http://www.ciac.org/ciac/bulletins/n-051.shtml	CIAC	Broken Link
16	http://www.securityfocus.com/bid/6884	BID	Broken Link Third Party Advisory VDB Entry
17	http://www.osvdb.org/3945	OSVDB	Broken Link
18	http://marc.info/?l=bugtraq&m=104568426824439&w=2	BUGTRAQ	Third Party Advisory
19	http://marc.info/?l=bugtraq&m=104567627211904&w=2	BUGTRAQ	Third Party Advisory
20	http://marc.info/?l=bugtraq&m=104577183206905&w=2	GENTOO	Third Party Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-203	セキュリティ関連の処理に対するレスポンスの違いに起因する情報漏えい	https://cwe.mitre.org/data/definitions/203.html

構成1	以上	以下	より上	未満
cpe:2.3:a:openssl:openssl:0.9.7:beta5::::::
cpe:2.3:a:openssl:openssl:0.9.7:beta3::::::
cpe:2.3:a:openssl:openssl:0.9.7:beta6::::::
cpe:2.3:a:openssl:openssl:0.9.6i:::::::*
cpe:2.3:a:openssl:openssl:0.9.7:beta2::::::
cpe:2.3:a:openssl:openssl:0.9.7:beta4::::::
cpe:2.3:a:openssl:openssl:0.9.7:beta1::::::
cpe:2.3:a:openssl:openssl::::::::				0.9.6i
cpe:2.3:a:openssl:openssl:0.9.7:-::::::

構成2	以上	以下	より上	未満
cpe:2.3:o:openbsd:openbsd:3.1:::::::*
cpe:2.3:o:freebsd:freebsd:4.5:::::::*
cpe:2.3:o:freebsd:freebsd:4.7:::::::*
cpe:2.3:o:freebsd:freebsd:4.4:::::::*
cpe:2.3:o:openbsd:openbsd:3.2:::::::*
cpe:2.3:o:freebsd:freebsd:4.2:::::::*
cpe:2.3:o:freebsd:freebsd:4.6:::::::*
cpe:2.3:o:freebsd:freebsd:4.3:::::::*
cpe:2.3:o:freebsd:freebsd:5.0:::::::*