NVD脆弱性詳細

CVE-2017-3733

概要	During a renegotiation handshake if the Encrypt-Then-Mac extension is negotiated where it was not in the original handshake (or vice-versa) then this can cause OpenSSL 1.1.0 before 1.1.0e to crash (dependent on ciphersuite). Both clients and servers are affected.
公表日	2017年5月5日4:29
登録日	2021年1月26日13:23
最終更新日	2024年11月21日12:26

影響を受けるソフトウェアの構成

関連情報、対策とツール

No	URL	タグ
1	http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html
2	http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html
3	http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html
4	http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html
5	http://www.securityfocus.com/bid/96269	Third Party Advisory VDB Entry
6	http://www.securityfocus.com/bid/96269	Third Party Advisory VDB Entry
7	http://www.securitytracker.com/id/1037846
8	http://www.securitytracker.com/id/1037846
9	https://github.com/openssl/openssl/commit/4ad93618d26a3ea23d36ad5498ff4f59eff3a4d2
10	https://github.com/openssl/openssl/commit/4ad93618d26a3ea23d36ad5498ff4f59eff3a4d2
11	https://h20566.www2.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=emr_na-hpesbgn03728en_us	Third Party Advisory VDB Entry
12	https://h20566.www2.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=emr_na-hpesbgn03728en_us	Third Party Advisory VDB Entry
13	https://www.openssl.org/news/secadv/20170216.txt	Vendor Advisory
14	https://www.openssl.org/news/secadv/20170216.txt	Vendor Advisory
15	https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
16	https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html

JVN脆弱性情報

OpenSSL にサービス運用妨害 (DoS) の脆弱性

タイトル	OpenSSL にサービス運用妨害 (DoS) の脆弱性
概要	OpenSSL には、サービス運用妨害 (DoS) の脆弱性が存在します。 OpenSSL は、次の脆弱性を修正したアップデートをリリースしました。　　* 再ネゴシエーション時の Encrypt-Then-Mac 拡張の扱いに起因するサービス運用妨害 (DoS) の脆弱性 - CVE-2017-3733 (重要度：高)
想定される影響	使用する ciphersuite に依存しますが、OpenSSL を使用しているサーバやアプリケーションが、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。
対策	[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。本脆弱性を修正した OpenSSL 1.1.0e がリリースされています。
公表日	2017年2月17日0:00
登録日	2017年2月20日17:26
最終更新日	2018年2月7日16:56

影響を受けるシステム

OpenSSL Project

OpenSSL 1.1.0e より前のバージョン

日本電気

ESMPRO/ServerAgent 4.4.22-1以降 (Linux)

ESMPRO/ServerAgentService 全バージョン (Linux)

SystemDirector Enterprise

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2017-3733	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3733
National Vulnerability Database (NVD)
2	CVE-2017-3733	https://nvd.nist.gov/vuln/detail/CVE-2017-3733

ベンダー情報

No	名前	URL
NEC製品セキュリティ情報
1	NV17-020	http://jpn.nec.com/security-info/secinfo/nv17-020.html
News
2	OpenSSL 1.1.0 Series Release Notes	https://www.openssl.org/news/openssl-1.1.0-notes.html
OpenSSL Security Advisory
3	Encrypt-Then-Mac renegotiation crash (CVE-2017-3733)	https://www.openssl.org/news/secadv/20170216.txt

その他

No	名前	URL
JVN
1	JVNVU#90017300	http://jvn.jp/vu/JVNVU90017300/index.html

変更履歴

No	変更内容	変更日
0	[2017年02月20日] 掲載 [2017年10月03日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：日本電気 (NV17-020) を追加参考情報：National Vulnerability Database (NVD) (CVE-2017-3733) を追加 [2018年02月07日] 影響を受けるシステム：ベンダ情報 (NV17-020) の更新に伴い内容を更新	2018年2月17日10:37