アドバイザリーID vasco-sa-20140605-openssl
改訂番号 1.0
リリース日 2015年4月13日午後4時30分UTC + 1
最後の更新 2015年4月13日午後4時30分UTC + 1
概要
2014年6月5日、OpenSSLプロジェクトはOpenSSLライブラリの7つの脆弱性を説明するセキュリティ勧告を公開しました。脆弱性は次のように呼ばれます。
- SSL / TLS MITMの脆弱性
- DTLS再帰の欠陥
- DTLSの無効なフラグメントの脆弱性
- SSL_MODE_RELEASE_BUFFERS NULLポインター逆参照
- SSL_MODE_RELEASE_BUFFERSセッションインジェクションまたはサービス拒否
- 匿名のECDHサービス拒否
- ECDSA NONCEサイドチャネル回復攻撃
複数のOneSpan製品には、認証されていないリモートの攻撃者が中間者攻撃を実行したり、SSL / TLSセッションデータを挿入したり、サービスの可用性を妨害したりする可能性がある1つ以上の脆弱性の影響を受けるOpenSSLライブラリのバージョンが組み込まれています。
影響を受ける製品
次の製品は、SSL / TLS MITM脆弱性の影響を受けます。
SSL / TLSサーバー
- IDENTIKEYサーバー3.3、3.4
- IDENTIKEY認証サーバー3.4 SR1、3.5
- IDENTIKEYフェデレーションサーバー1.3、1.4、1.5
- IDENTIKEY(仮想)アプライアンス3.4.5。(0,1)
- IDENTIKEY(仮想)アプライアンス3.4.6。(0,1,2,3)
- IDENTIKEY(仮想)アプライアンス3.5.7。(1,2,3,4)
- aXsGUARD Gatekeeper 7.0.0 PL19、7.1.0 PL6、7.6.5、7.7.0、7.7.1、7.7.2
SSL / TLSクライアント
- LDAP同期ツール1.1、1.2
- データ移行ツール2.0、2.1、2.2、2.3、2.4
- Windowsログオン1.1、1.2のDIGIPASS認証
- Citrix Web Interface 3.3、3.4、3.5、3.6のDIGIPASS認証
- IISのDIGIPASS認証-基本3.3、3.4、3.5
- Outlook Web AccessのDIGIPASS認証-基本3.3、3.4、3.5
- Outlook Web AccessのDIGIPASS認証-フォーム3.3、3.4、3.5
- リモートデスクトップWebアクセス3.4、3.5、3.6のDIGIPASS認証
- Steel-Belted RADIUS Server 3.2、3.3のDIGIPASS認証
- パーソナルaXsGUARD 1.1.3、2.1.0
以下の製品は、SSL_MODE_RELEASE_BUFFERS NULLポインター逆参照の脆弱性の影響を受けます。
- IDENTIKEYフェデレーションサーバー1.3、1.4、1.5
- aXsGUARD Gatekeeper 7.7.0、7.7.1、7.7.2
次の製品は、SSL_MODE_RELEASE_BUFFERSセッションインジェクションまたはサービス拒否の脆弱性の影響を受けます。
- IDENTIKEYフェデレーションサーバー1.3、1.4、1.5
- aXsGUARD Gatekeeper 7.7.0、7.7.1、7.7.2
説明文
2014年6月5日、OpenSSLプロジェクトはOpenSSLライブラリの7つの脆弱性を説明するセキュリティ勧告を公開しました。
この脆弱性がOneSpan製品に与える影響は、影響を受ける製品によって異なります。
SSL / TLS中間者
影響を受けるSSL / TLSクライアントとSSL / TLSサーバー間のトラフィックを傍受する機能を備えた、認証されていないリモートの攻撃者は、中間者攻撃を実行する可能性があります。この脆弱性にはCVE-2014-0224が割り当てられています。
SSL_MODE_RELEASE_BUFFERS NULLポインター逆参照
認証されていないリモートの攻撃者が、NULLポインター逆参照をトリガーするように設計された悪意のあるリクエストを送信する可能性があります。これにより、影響を受けるデバイスで部分的または完全なサービス拒否状態が発生する可能性があります。この脆弱性にはCVE-2014-0198が割り当てられています。
SSL_MODE_RELEASE_BUFFERSセッションインジェクションまたはサービス拒否
認証されていないリモートの攻撃者が、コンテンツを並列SSL / TLSセッションに挿入するか、サービス拒否条件を作成するように設計された悪意のあるリクエストを送信する可能性があります。この脆弱性にはCVE-2010-5298が割り当てられています。
詳細については、OpenSSLプロジェクトセキュリティアドバイザリを参照してください:http://www.openssl.org/news/secadv_20140605.txt
重大度スコア
以下の表は、さまざまな脆弱性のCVSS 2.0脆弱性スコアを示しています。
SSl / TLS中間者
CVSS時間的スコア: 3.6
| CVSS基本スコア: 4.3 | |||||
| アクセスVecto r | アクセスの複雑さ |
認証 |
機密性への影響 | 完全性への影響 | 可用性への影響 |
| 通信網 | 中 | 無し | 無し | 部分的 | 無し |
| 悪用可能性 | 修復レベル | 信頼を報告する | |||
| 機能的 | 公式修正 | 確認済み | |||
SSL_MODE_RELEASE_BUFFERS NULLポインター逆参照
| CVSS基本スコア: 7.1 | |||||
|
アクセスベクター |
アクセスの複雑さ |
認証 |
機密性への影響 | 完全性への影響 | 可用性への影響 |
| 通信網 | 中 | 無し | 無し | 無し | コンプリート |
| CVSS時間的スコア: 7.8 | |||||
| 悪用可能性 | 修復レベル | 信頼を報告する | |||
| 機能的 | 公式修正 | 確認済み | |||
SSL_MODE_RELEASE_BUFFERSセッションインジェクションまたはサービス拒否
|
CVSS基本スコア: 7.8 |
|||||
| アクセスベクター | アクセスの複雑さ | 認証 | 機密性への影響 | 完全性への影響 | 可用性への影響 |
| 通信網 | 中 | 無し | 無し | 部分的 | コンプリート |
| CVSS時間的スコア: 6.4 | |||||
| 悪用可能性 | 修復レベル | 信頼を報告する | |||
| 機能的 | 公式修正 | 確認済み | |||
製品の修正
OneSpanは次の製品のパッチをリリースしました:
- 2014年6月13日のIDENTIKEY Federation Server 1.3.2、1.4.2、1.5.1
OneSpanは次のパッチをリリースします。
- 2014年6月23日のIDENTIKEY Authentication Server 3.5.4
- IDENTIKEY(仮想)アプライアンス3.5.7.5(2014年6月23日)
- aXsGUARD Gatekeeper 7.7.3、リリース日は後で発表されます
IDENTIKEY Server 3.3または3.4を使用しているお客様、およびIDENTIKEY Authentication Server 3.4 SR1を使用しているお客様は、IDENTIKEY Authentication Server 3.5にアップグレードして、このバージョンに適切な修正を適用することをお勧めします。
aXsGUARD Gatekeeperを使用しているお客様は、aXsGUARD Gatekeeper 7.7.3にアップグレードすることをお勧めします。
SSL / TLS中間者攻撃の脆弱性の影響を受けるクライアント側の製品を使用しているお客様は、対応するサーバー側の製品をアップグレードすることをお勧めします。脆弱性を利用するには脆弱なクライアント側とサーバー側の両方の製品が必要であるため、このアプローチは影響を回避します。
ロケーション
保守契約を結んでいるお客様は、MyMaintenanceから固定製品リリースを入手できます。
参照
http://www.openssl.org/news/secadv_20140605.txt
法的放棄声明
本書に記載されているすべての内容と情報は、表現または保証がなく、明示的または黙示的な保証なしに、「現状のまま」かつ「入手可能な」状態で提供されます。完全性または適合性、または商品性または特定の使用または目的への適合性の保証を含む、いかなる保証。このドキュメント、提供された情報、またはこのドキュメントからリンクされている資料の使用は、ユーザー自身の責任で行ってください。VASCOは、このドキュメントの情報をいつでも、その裁量で、新しい情報または追加情報が利用可能になったときに変更または更新する権利を留保します。
Copyright©2014 VASCO Data Security、Inc.、VASCO Data Security International GmbH。全著作権所有。