NVD脆弱性詳細
Exploit、PoC検索
CVE-2015-1793
概要

The X509_verify_cert function in crypto/x509/x509_vfy.c in OpenSSL 1.0.1n, 1.0.1o, 1.0.2b, and 1.0.2c does not properly process X.509 Basic Constraints cA values during identification of alternative certificate chains, which allows remote attackers to spoof a Certification Authority role and trigger unintended certificate verifications via a valid leaf certificate.

公表日 2015年7月10日4:17
登録日 2021年1月26日14:46
最終更新日 2024年11月21日11:26
CVSS3.0 : MEDIUM
スコア 6.5
ベクター CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃に必要な特権レベル(PR) 不要
利用者の関与(UI) 不要
影響の想定範囲(S) 変更なし
機密性への影響(C)
完全性への影響(I)
可用性への影響(A) なし
CVSS2.0 : MEDIUM
スコア 6.4
ベクター AV:N/AC:L/Au:N/C:P/I:P/A:N
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃前の認証要否(Au) 不要
機密性への影響(C)
完全性への影響(I)
可用性への影響(A) なし
全ての特権を取得 いいえ
ユーザー権限を取得 いいえ
その他の権限を取得 いいえ
ユーザー操作が必要 いいえ
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:oracle:supply_chain_products_suite:6.1.2.2:*:*:*:*:*:*:*
cpe:2.3:a:oracle:supply_chain_products_suite:6.2.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:supply_chain_products_suite:6.1.3.0:*:*:*:*:*:*:*
構成2 以上 以下 より上 未満
cpe:2.3:a:oracle:jd_edwards_enterpriseone_tools:9.2:*:*:*:*:*:*:*
cpe:2.3:a:oracle:jd_edwards_enterpriseone_tools:9.1:*:*:*:*:*:*:*
構成3 以上 以下 より上 未満
cpe:2.3:a:openssl:openssl:1.0.2b:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.2c:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.1n:*:*:*:*:*:*:*
cpe:2.3:a:openssl:openssl:1.0.1o:*:*:*:*:*:*:*
構成4 以上 以下 より上 未満
cpe:2.3:o:oracle:opus_10g_ethernet_switch_family:*:*:*:*:*:*:*:* 2.0.0.6
関連情報、対策とツール
共通脆弱性一覧
JVN脆弱性情報
OpenSSL に証明書チェーンの検証不備の脆弱性
タイトル OpenSSL に証明書チェーンの検証不備の脆弱性
概要

OpenSSL には、証明書チェーンの検証不備の脆弱性が存在します。 2015年7月9日、OpenSSL Project より OpenSSL Security Advisory [9 Jul 2015] が公開されました。 OpenSSL Security Advisory [9 Jul 2015] https://www.openssl.org/news/secadv_20150709.txt アドバイザリによると、次に挙げる脆弱性が修正され、修正版の OpenSSL 1.0.2d、1.0.1p がリリースされています。 深刻度−高 (Severity: High) ・ Alternative chains certificate forgery (CVE-2015-1793) OpenSSL は、証明書の検証において最初の証明書チェーンの構築に失敗した場合、代替の証明書チェーンの構築を試みますが、この処理の実装には不備があります。その結果、例えば CA フラグが FALSE とされている証明書を使って発行された証明書を、不正なものであると検知せず、信頼している CA によって発行された証明書として扱ってしまう可能性があります。

想定される影響 中間者攻撃 (man-in-the-middle attack) により、HTTPS 通信の内容を閲覧されたり改ざんされたりする可能性があります。
対策

[アップデートする] 本脆弱性を修正した次のバージョンの OpenSSL が提供されています。開発者が提供する情報をもとに、最新版へアップデートしてください。 ・ OpenSSL 1.0.2d ・ OpenSSL 1.0.1p 最新版 https://www.openssl.org/source/ [JPCERT/CC からの捕捉情報] OpenSSL Security Advisory 末尾の注記 (Note) にもある通り、OpenSSL バージョン 1.0.0 と 0.9.8 のサポートは 2015年12月31日で終了します。これらのバージョンのユーザは、アップデートをご検討ください。 As per our previous announcements and our Release Strategy (https://www.openssl.org/about/releasestrat.html), support for OpenSSL versions 1.0.0 and 0.9.8 will cease on 31st December 2015. No security updates for these releases will be provided after that date. Users of these releases are advised to upgrade.
公表日 2015年7月9日0:00
登録日 2015年7月13日12:24
最終更新日 2016年11月22日16:25
影響を受けるシステム
オラクル
Integrated Lights Out Manager 3.0
Integrated Lights Out Manager 3.1
Integrated Lights Out Manager 3.2
JD Edwards EnterpriseOne Tools 9.1
JD Edwards EnterpriseOne Tools 9.2
MySQL 5.6.25 およびそれ以前
MySQL Enterprise Monitor 2.3.20 およびそれ以前
MySQL Enterprise Monitor 3.0.22 およびそれ以前
Oracle Enterprise Manager Base Platform 11.1.0.1
Oracle Enterprise Manager Base Platform 11.2.0.4
Oracle Enterprise Manager Base Platform 12.1.0.4
Oracle Enterprise Manager Base Platform 12.1.0.5
Oracle Enterprise Manager Grid Control の OSS Support Tools 8.8.15.7.15 未満
Oracle Enterprise Manager Ops Center 12.1.4 未満
Oracle Enterprise Manager Ops Center 12.2.0
Oracle Enterprise Manager Ops Center 12.2.1
Oracle Enterprise Manager Ops Center 12.3.0
Oracle Ethernet Switch ES2-64 2.0.0.6 未満
Oracle Ethernet Switch ES2-72 2.0.0.6 未満
Oracle Fusion Middleware の Oracle Business Intelligence Enterprise Edition 11.1.1.7.0
Oracle Fusion Middleware の Oracle Business Intelligence Enterprise Edition 11.1.1.9.0
Oracle Fusion Middleware の Oracle Endeca Server 7.3.0.0
Oracle Fusion Middleware の Oracle Endeca Server 7.4.0.0
Oracle Fusion Middleware の Oracle Endeca Server 7.5.0.0
Oracle Fusion Middleware の Oracle Endeca Server 7.6.0.0
Oracle Fusion Middleware の Oracle Tuxedo 12.1.1.0
Oracle JD Edwards Products の JD Edwards World Security A9.4
Oracle PeopleSoft Products の PeopleSoft Enterprise PeopleTools 8.53
Oracle PeopleSoft Products の PeopleSoft Enterprise PeopleTools 8.54
Oracle Supply Chain Products Suite の Oracle Agile Engineering Data Management 6.1.2.2
Oracle Supply Chain Products Suite の Oracle Agile Engineering Data Management 6.1.3.0
Oracle Supply Chain Products Suite の Oracle Agile Engineering Data Management 6.2.0.0
Oracle Supply Chain Products Suite の Oracle Transportation Management 6.1
Oracle Supply Chain Products Suite の Oracle Transportation Management 6.2
Oracle Switch ES1-24 1.3.1.13 未満
Sun Blade 6000 Ethernet Switched NEM 24P 10GE 1.2.2.13 未満
Sun Network 10GE Switch 72P 1.2.2.15 未満
OpenSSL Project
OpenSSL 1.0.1n
OpenSSL 1.0.1o
OpenSSL 1.0.2b
OpenSSL 1.0.2c
日本電気
CapsSuite V3.0 から V4.0 のマネージャコンポーネント
EnterpriseDirectoryServer Ver8.0
Express5800 /SG シリーズ InterSecVM/SG v1.2,v3.0,v3.1,v4.0
Express5800 /SG シリーズ SG3600LM/LG/LJ v6.1,v6.2,v7.0,v7.1,v8.0
Express5800 /SG シリーズ UNIVERGE SG3000LG/LJ
iStorage HSシリーズ 全バージョン
iStorage NV7400/NV5400/NV3400シリーズ
iStorage NV7500/NV5500/NV3500シリーズ
IX2000シリーズ 
IX3000シリーズ 
SecureWare/PKIアプリケーション開発キット Ver3.0
SecureWare/PKIアプリケーション開発キット Ver3.01
SecureWare/PKIアプリケーション開発キット Ver3.02
SecureWare/PKIアプリケーション開発キット Ver3.1
WebOTX Enterprise Edition V4.2 から V6.5
WebOTX Standard Edition V4.2 から V6.5
WebOTX Standard-J Edition V4.1 から V6.5
WebOTX UDDI Registry V1.1 から V7.1
WebOTX Web Edition V4.1 から V6.5
WebOTX Application Server Enterprise Edition V7.1
WebOTX Application Server Enterprise V8.2 から V9.2
WebOTX Application Server Express V8.2 から V9.2
WebOTX Application Server Foundation V8.2 から V8.5
WebOTX Application Server Standard Edition V7.1
WebOTX Application Server Standard V8.2 から V9.2
WebOTX Application Server Standard-J Edition V7.1 から V8.1
WebOTX Application Server Web Edition V7.1 から V8.1
WebOTX Enterprise Service Bus V6.4 から V9.2
WebOTX Portal V8.2 から V9.1
WebOTX SIP Application Server Standard Edition V7.1 から V8.1
WebSAM Application Navigator Ver3.1.0.x から Ver4.1.0.x
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
0 [2015年07月13日]
  掲載
[2015年07月30日]
  ベンダ情報:オラクル (Oracle Solaris Third Party Bulletin - July 2015) を追加
  ベンダ情報:シスコシステムズ (cisco-sa-20150710-openssl) を追加
[2015年09月03日]
  ベンダ情報:ヒューレット・パッカード (HPSBUX03388) を追加
[2015年10月22日]
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - October 2015) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - October 2015 Risk Matrices) を追加
  ベンダ情報:オラクル (October 2015 Critical Patch Update Released) を追加
[2015年10月28日]
  ベンダ情報:日本電気 (NV15-010) を追加
[2015年10月30日]
  ベンダ情報:ジュニパーネットワークス (JSA10694) を追加
[2015年11月06日]
  影響を受けるシステム:内容を更新
[2016年01月28日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices) を追加
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - January 2016) を追加
  ベンダ情報:オラクル (January 2016 Critical Patch Update Released) を追加
[2016年03月04日]
  影響を受けるシステム:内容を更新
[2016年05月31日]
  CVSS による深刻度:内容を更新
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update CVSS V2 Risk Matrices - April 2016) を追加
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - April 2016) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - April 2016 Risk Matrices) を追加
  ベンダ情報:オラクル (April 2016 Critical Patch Update Released) を追加
[2016年06月23日]
  影響を受けるシステム:ベンダ情報の更新に伴い内容を更新
[2016年07月27日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2016) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - July 2016 Risk Matrices) を追加
  ベンダ情報:オラクル (July 2016 Critical Patch Update Released) を追加
[2016年08月03日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
[2016年09月08日]
  ベンダ情報:ヒューレット・パッカード (HPSBGN03424) を追加
  ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBHF03613) を追加
  ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBMU03546) を追加
[2016年11月22日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - October 2016) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - October 2016 Risk Matrices) を追加
  ベンダ情報:オラクル (October 2016 Critical Patch Update Released) を追加		 2018年2月17日10:37