NVD脆弱性詳細

CVE-2011-1473

概要	OpenSSL before 0.9.8l, and 0.9.8m through 1.x, does not properly restrict client-initiated renegotiation within the SSL and TLS protocols, which might make it easier for remote attackers to cause a denial of service (CPU consumption) by performing many renegotiations within a single connection, a different vulnerability than CVE-2011-5094. NOTE: it can also be argued that it is the responsibility of server deployments, not a security library, to prevent or limit renegotiation when it is inappropriate within a specific environment
公表日	2012年6月17日6:55
登録日	2021年1月28日16:38
最終更新日	2024年11月21日10:26

CVSS2.0 : MEDIUM
スコア	5.0
ベクター	AV:N/AC:L/Au:N/C:N/I:N/A:P
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃前の認証要否(Au)	不要
機密性への影響(C)	なし
完全性への影響(I)	なし
可用性への影響(A)	低
全ての特権を取得	いいえ
ユーザー権限を取得	いいえ
その他の権限を取得	いいえ
ユーザー操作が必要	いいえ

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:openssl:openssl:0.9.8m:::::::*
cpe:2.3:a:openssl:openssl:0.9.8n:::::::*
cpe:2.3:a:openssl:openssl:0.9.8p:::::::*
cpe:2.3:a:openssl:openssl:0.9.8u:::::::*
cpe:2.3:a:openssl:openssl:0.9.8m:beta1::::::
cpe:2.3:a:openssl:openssl:0.9.8s:::::::*
cpe:2.3:a:openssl:openssl:0.9.8r:::::::*
cpe:2.3:a:openssl:openssl:0.9.8t:::::::*
cpe:2.3:a:openssl:openssl:0.9.8o:::::::*
cpe:2.3:a:openssl:openssl:0.9.8w:::::::*
cpe:2.3:a:openssl:openssl:0.9.8v:::::::*
cpe:2.3:a:openssl:openssl:0.9.8x:::::::*

構成2		以上	以下	より上	未満
cpe:2.3:a:openssl:openssl::::::::			0.9.8k

関連情報、対策とツール

No	URL	refsource	タグ
1	http://archives.neohapsis.com/archives/bugtraq/2014-02/0061.html
2	http://marc.info/?l=bugtraq&m=133951357207000&w=2
3	http://marc.info/?l=bugtraq&m=133951357207000&w=2
4	http://orchilles.com/2011/03/ssl-renegotiation-dos.html
5	http://vincent.bernat.im/en/blog/2011-ssl-dos-mitigation.html
6	http://www.educatedguesswork.org/2011/10/ssltls_and_computational_dos.html
7	http://www.ietf.org/mail-archive/web/tls/current/msg07553.html
8	http://www.ietf.org/mail-archive/web/tls/current/msg07564.html
9	http://www.ietf.org/mail-archive/web/tls/current/msg07567.html
10	http://www.ietf.org/mail-archive/web/tls/current/msg07576.html
11	http://www.ietf.org/mail-archive/web/tls/current/msg07577.html
12	http://www.openwall.com/lists/oss-security/2011/07/08/2
13	https://bugzilla.redhat.com/show_bug.cgi?id=707065
14	https://lists.apache.org/thread.html/142b93d261e8ac7c5ceffdce848d622404abc1c286bbc999f43a9e10%40%3Cdev.rocketmq.apache.org%3E
15	https://lists.apache.org/thread.html/6121becfdd23f9aeb675d5db80616536277d5931d6cde9dca292e509%40%3Cdev.rocketmq.apache.org%3E
16	https://lists.apache.org/thread.html/8be38d35654441140db8eb3f7433524b3653ac3fdc26e2fa94626a3a%40%3Cdev.rocketmq.apache.org%3E
17	https://lists.apache.org/thread.html/r13a07a09f98b2841193dbf17a47c7f09b464e0747a1d3e7298ad4c81%40%3Cdev.rocketmq.apache.org%3E
18	https://lists.apache.org/thread.html/r1e33410bb5c81536e7fe14b51fa83e7bfd9445db61fd10c134792bde%40%3Cdev.rocketmq.apache.org%3E
19	https://lists.apache.org/thread.html/r298a09a2b98446b27217d719e877c643b6d13fac0bcafe04696a446b%40%3Cdev.rocketmq.apache.org%3E
20	https://lists.apache.org/thread.html/r3822ad69442291562c2ab41132fc49780d269e8b52deb458b7060f6d%40%3Ccommits.rocketmq.apache.org%3E
21	https://lists.apache.org/thread.html/r5e595b91f00613dafa635852121d45b161e8b5c3eba4551aeccc6483%40%3Cdev.rocketmq.apache.org%3E
22	https://lists.apache.org/thread.html/r77fe575893261889b983e067293be72fa1f8c6305ede9fdbc404c514%40%3Cdev.rocketmq.apache.org%3E
23	https://lists.apache.org/thread.html/r8680f41bcdad13c3f267cb868b45e5fb1f57df8b39d25193f7d66500%40%3Cdev.rocketmq.apache.org%3E
24	https://lists.apache.org/thread.html/ra95c355827b3c96c8013ed8e0666c851581651be2524f3d28cd4fe71%40%3Cdev.rocketmq.apache.org%3E
25	https://lists.apache.org/thread.html/rc98eaa3f8223ac75aa5969f717954d8cbc9f3a9d8b7a6156a54fa557%40%3Cdev.rocketmq.apache.org%3E
26	https://lists.apache.org/thread.html/rf9e8ae0356af3ec4f7780ca651b770721d287d4d55f62f4f754e0a6f%40%3Cdev.rocketmq.apache.org%3E
27	http://archives.neohapsis.com/archives/bugtraq/2014-02/0061.html
28	https://lists.apache.org/thread.html/rf9e8ae0356af3ec4f7780ca651b770721d287d4d55f62f4f754e0a6f%40%3Cdev.rocketmq.apache.org%3E
29	https://lists.apache.org/thread.html/rc98eaa3f8223ac75aa5969f717954d8cbc9f3a9d8b7a6156a54fa557%40%3Cdev.rocketmq.apache.org%3E
30	https://lists.apache.org/thread.html/ra95c355827b3c96c8013ed8e0666c851581651be2524f3d28cd4fe71%40%3Cdev.rocketmq.apache.org%3E
31	https://lists.apache.org/thread.html/r8680f41bcdad13c3f267cb868b45e5fb1f57df8b39d25193f7d66500%40%3Cdev.rocketmq.apache.org%3E
32	https://lists.apache.org/thread.html/r77fe575893261889b983e067293be72fa1f8c6305ede9fdbc404c514%40%3Cdev.rocketmq.apache.org%3E
33	https://lists.apache.org/thread.html/r5e595b91f00613dafa635852121d45b161e8b5c3eba4551aeccc6483%40%3Cdev.rocketmq.apache.org%3E
34	https://lists.apache.org/thread.html/r3822ad69442291562c2ab41132fc49780d269e8b52deb458b7060f6d%40%3Ccommits.rocketmq.apache.org%3E
35	https://lists.apache.org/thread.html/r298a09a2b98446b27217d719e877c643b6d13fac0bcafe04696a446b%40%3Cdev.rocketmq.apache.org%3E
36	https://lists.apache.org/thread.html/r1e33410bb5c81536e7fe14b51fa83e7bfd9445db61fd10c134792bde%40%3Cdev.rocketmq.apache.org%3E
37	https://lists.apache.org/thread.html/r13a07a09f98b2841193dbf17a47c7f09b464e0747a1d3e7298ad4c81%40%3Cdev.rocketmq.apache.org%3E
38	https://lists.apache.org/thread.html/8be38d35654441140db8eb3f7433524b3653ac3fdc26e2fa94626a3a%40%3Cdev.rocketmq.apache.org%3E
39	https://lists.apache.org/thread.html/6121becfdd23f9aeb675d5db80616536277d5931d6cde9dca292e509%40%3Cdev.rocketmq.apache.org%3E
40	https://lists.apache.org/thread.html/142b93d261e8ac7c5ceffdce848d622404abc1c286bbc999f43a9e10%40%3Cdev.rocketmq.apache.org%3E
41	https://bugzilla.redhat.com/show_bug.cgi?id=707065
42	http://www.openwall.com/lists/oss-security/2011/07/08/2
43	http://www.ietf.org/mail-archive/web/tls/current/msg07577.html
44	http://www.ietf.org/mail-archive/web/tls/current/msg07576.html
45	http://www.ietf.org/mail-archive/web/tls/current/msg07567.html
46	http://www.ietf.org/mail-archive/web/tls/current/msg07564.html
47	http://www.ietf.org/mail-archive/web/tls/current/msg07553.html
48	http://www.educatedguesswork.org/2011/10/ssltls_and_computational_dos.html
49	http://vincent.bernat.im/en/blog/2011-ssl-dos-mitigation.html
50	http://orchilles.com/2011/03/ssl-renegotiation-dos.html
51	http://marc.info/?l=bugtraq&m=133951357207000&w=2
52	http://marc.info/?l=bugtraq&m=133951357207000&w=2

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-264	認可・権限・アクセス制御	https://cwe.mitre.org/data/definitions/264.html

JVN脆弱性情報

OpenSSL におけるサービス運用妨害 (DoS) の脆弱性

タイトル	OpenSSL におけるサービス運用妨害 (DoS) の脆弱性
概要	未確定本件は、脆弱性として確定していません。 OpenSSL は、SSL および TLS プロトコル内のクライアント開始の再ネゴシエーションを適切に制限しないため、サービス運用妨害 (CPU 資源の消費) 状態にされる脆弱性が存在します。本脆弱性は、CVE-2011-5094 とは異なる脆弱性です。なお、特定の環境における不適切な再ネゴシエーションである場合、それを防ぐ、または制限するのは、セキュリティライブラリではなくサーバの展開の責任であるととする議論もあります。
想定される影響	リモートの攻撃者により、単一接続内で多数の再ネゴシエーションを実行されることで、サービス運用妨害 (CPU 資源の消費) 状態にされる可能性があります。
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
公表日	2011年3月15日0:00
登録日	2019年7月29日12:41
最終更新日	2019年7月29日12:41

影響を受けるシステム

OpenSSL Project

OpenSSL 0.9.8l 未満

OpenSSL 1.x までの 0.9.8m

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2011-1473	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1473
National Vulnerability Database (NVD)
2	CVE-2011-1473	https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-1473

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	名前	URL
OpenSSL Project
1	Top Page	https://www.openssl.org/

その他

No	名前	URL
関連文書
1	SSL computational DoS mitigation	http://vincent.bernat.im/en/blog/2011-ssl-dos-mitigation.html
2	[TLS] SSL Renegotiation DOS	https://mailarchive.ietf.org/arch/msg/tls/wdg46VE_jkYBbgJ5yE4P9nQ-8IU

変更履歴

No	変更内容	変更日
1	[2019年07月29日] 掲載	2019年7月29日12:41

構成1	以上	以下	より上	未満
cpe:2.3:a:openssl:openssl:0.9.8m:::::::*
cpe:2.3:a:openssl:openssl:0.9.8n:::::::*
cpe:2.3:a:openssl:openssl:0.9.8p:::::::*
cpe:2.3:a:openssl:openssl:0.9.8u:::::::*
cpe:2.3:a:openssl:openssl:0.9.8m:beta1::::::
cpe:2.3:a:openssl:openssl:0.9.8s:::::::*
cpe:2.3:a:openssl:openssl:0.9.8r:::::::*
cpe:2.3:a:openssl:openssl:0.9.8t:::::::*
cpe:2.3:a:openssl:openssl:0.9.8o:::::::*
cpe:2.3:a:openssl:openssl:0.9.8w:::::::*
cpe:2.3:a:openssl:openssl:0.9.8v:::::::*
cpe:2.3:a:openssl:openssl:0.9.8x:::::::*