OneSpan製品における複数のOpenSSL脆弱性| OneSpan

アドバイザリーID vasco-sa-20150413-openssl

リビジョン番号1.0

リリース日2015年9月3日10:53 AM UTC + 1

最終更新2015年9月3日10:53 AM UTC + 1

概要

2015年3月19日、OpenSSLプロジェクトはOpenSSLライブラリの14の脆弱性を説明するセキュリティ勧告を公開しました。脆弱性は次のように呼ばれます。

OpenSSL 1.0.2 ClientHello sigalgs DoS（CVE-2015-0291）

再分類：RSAはサイレントにEXPORT_RSA [クライアント]にダウングレードする（CVE-2015-0204）

マルチブロック破損ポインタ（CVE-2015-0290）

DTLSv1_listenのセグメンテーションエラー（CVE-2015-0207）

ASN1_TYPE_cmpのセグメンテーションエラー（CVE-2015-0286）

無効なPSSパラメーターのセグメンテーションフォールト（CVE-2015-0208）

ANS.1構造でMemortの破損を再利用（CVE-2015-0287）

PKCS7 NULLポインター逆参照（CVE-2015-0289）

Base64デコード（CVE-2015-0292）

SSLv2サーバーで到達可能なアサートを介したDoS（CVE-2015-0293）

クライアント認証とDHEを使用した空のCKE（CVE-2015-1787）

シードされていないPRNGとのハンドシェイク（CVE_2015-0285）

d2i_ECPrivatekeyエラー後の解放後使用（CVE-2015-0209）

X509_to_X509_REQ NULLポインターderef（CVE-2015-0288）

複数のOneSpan製品には、認証されていないリモートの攻撃者が中間者攻撃を実行したり、SSL / TLSセッションデータを挿入したり、サービスの可用性を妨害したりする可能性がある1つ以上の脆弱性の影響を受けるOpenSSLライブラリのバージョンが組み込まれています。

影響を受ける製品

以下の製品は、上記の脆弱性の1つ以上の影響を受けます。

IDENTIKEY Federation Server 1.4、1.5

IDENTIKEY認証サーバー3.4 SR1、3.5、3.6

IDENTIKEY（仮想）アプライアンスのサポートされているすべてのバージョン

aXsGUARD Gatekeeper 7.7.x、8.0.0、8.1.0

影響を受ける製品

説明文

以下の脆弱性の説明は、OpenSSLセキュリティアドバイザリから抽出されます

OpenSSL 1.0.2 ClientHello sigals DoS（CVE-2015-0291）

クライアントがOpenSSL 1.0.2サーバーに接続し、無効な署名アルゴリズム拡張と再ネゴシエートすると、NULLポインター逆参照が発生します。これはサーバーに対するDos攻撃で悪用される可能性があります

再分類：RSAはサイレントにEXPORT_RSA [クライアント]にダウングレードする（CVE-2015-0204）

このセキュリティ問題は、OpenSSLプロジェクトによって以前に発表されており、重大度「低」に分類されています。この深刻度は「高」に変更されました。

サーバーのRSAエクスポート暗号スイートのサポートはまれであると当初考えられていたため、これは低いと分類されました。クライアントは、RSAエクスポート暗号スイートをサポートするサーバーに対するMITM攻撃に対してのみ脆弱でした。最近の調査では、RSAエクスポート暗号スイートのサポートがはるかに一般的であることが示されています。

マルチブロック破損ポインタ（CVE-2015-0290）

OpenSSL 1.0.2では、「マルチブロック」パフォーマンスの改善が導入されました。この機能は、AES NI命令をサポートする64ビットx86アーキテクチャプラットフォームにのみ適用されます。「マルチブロック」の実装に欠陥があると、非ブロッキングIOを使用しているときにOpenSSLの内部書き込みバッファーが誤ってNULLに設定される可能性があります。通常、ユーザーアプリケーションがソケットBIOを使用して書き込みを行っている場合、接続が失敗するだけです。ただし、他のBIOが使用されている場合は、セグメンテーションフォールトがトリガーされ、DoS攻撃の可能性があります。

DTLSv1_listenのセグメンテーションエラー（CVE-2015-0207）

DTLSv1_listen関数はステートレスであることが意図されており、多くのピアからの初期ClientHelloを処理します。ユーザーコードが、有効なClientHelloが関連付けられたCookieとともに受信されるまで、DTLSv1_listenの呼び出しをループするのが一般的です。DTLSv1_listenの実装の欠陥は、状態がSSLオブジェクト内で1つの呼び出しから次の呼び出しまで保持されることを意味し、これによりセグメンテーション違反が発生する可能性があります。最初のClientHelloの処理中にエラーが発生すると、このシナリオがトリガーされることがあります。このようなエラーの例としては、DTLS1.0のみのクライアントがDTLS1.2のみのサーバーに接続しようとしていることが考えられます。

ASN1_TYPE_cmpのセグメンテーションエラー（CVE-2015-0286）

ASN.1ブール型を比較しようとすると、関数ASN1_TYPE_cmpが無効な読み取りでクラッシュします。ASN1_TYPE_cmpは証明書の署名アルゴリズムの整合性をチェックするために使用されるため、これを使用して証明書の検証操作をクラッシュさせ、DoS攻撃に悪用することができます。証明書の検証を実行するすべてのアプリケーションは、OpenSSLクライアントおよびクライアント認証を有効にするサーバーを含め、脆弱です。

無効なPSSパラメーターのセグメンテーションエラー（CVE-2015-0208）

RSA PSSアルゴリズムと無効なパラメーターを使用してASN.1署名が提示された場合、署名検証ルーチンはNULLポインター逆参照でクラッシュします。これらのルーチンは証明書の署名アルゴリズムを検証するために使用されるため、証明書の検証操作をクラッシュさせるために使用でき、DoS攻撃に悪用される可能性があります。証明書の検証を実行するすべてのアプリケーションは、OpenSSLクライアントおよびクライアント認証を有効にするサーバーを含め、脆弱です。

ASN.1構造がメモリ破損を再利用する（CVE-2015-0287）

ASN.1解析で構造を再利用すると、攻撃者が無効な書き込みを介してメモリ破損を引き起こす可能性があります。このような再利用は強く推奨されておらず、まれであると考えられています。
CHOICEまたはANY DEFINED BYコンポーネントを含む構造を解析するアプリケーションが影響を受ける可能性があります。ただし、証明書の解析（d2i_X509および関連する機能）は影響を受けません。OpenSSLクライアントとサーバーは影響を受けません。

PKCS7 NULLポインター逆参照（CVE-2015-0289）

PKCS＃7解析コードは、不足している外側のContentInfoを正しく処理しません。攻撃者は、コンテンツが欠落している不正な形式のASN.1エンコードPKCS＃7 BLOBを作成し、解析時にNULLポインター逆参照をトリガーできます。
PKCS＃7署名の検証、PKCS＃7データの復号、または信頼できないソースからのPKCS＃7構造の解析を行うアプリケーションが影響を受けます。OpenSSLクライアントとサーバーは影響を受けません。

Base64デコード（CVE-2015-0292）

以前のバージョンのOpenSSLには、base64でエンコードされたデータの処理に関連する脆弱性が存在しました。信頼できないソースからbase64データを読み取るコードパスが影響を受ける可能性があります（PEM処理ルーチンなど）。
悪意を持って作成されたbase 64データは、セグメンテーション違反またはメモリ破損を引き起こす可能性があります。これはOpenSSLの以前のバージョンで対処されましたが、現在までセキュリティアドバイザリには含まれていません。

SSLv2サーバーで到達可能なアサートを介したDoS（CVE-2015-0293）

悪意のあるクライアントは、SSLv2をサポートし、特別に細工されたSSLv2 CLIENT-MASTER-KEYメッセージを送信することでエクスポート暗号スイートを有効にするサーバーでOPENSSL_assert（つまり、中止）をトリガーできます。

クライアント認証とDHEを使用した空のCKE（CVE-2015-1787）

クライアント認証が使用されている場合、DHE暗号スイートが選択され、長さゼロのClientKeyExchangeメッセージがクライアントから送信された場合、サーバーは障害をセグメント化できます。これは、DoS攻撃で悪用される可能性があります。

シードされていないPRNGとのハンドシェイク（CVE-2015-0285）

特定の条件下では、OpenSSL 1.0.2クライアントはシードされていないPRNGとのハンドシェイクを完了できます。条件は次のとおりです。

クライアントが、PRNGが自動的にシードされておらず、ユーザーが手動でシードしていないプラットフォーム上にある

プロトコル固有のクライアントメソッドバージョンが使用された（つまり、SSL_client_methodv23ではない）

PRNGからの追加のランダムデータを必要としない暗号スイートが使用されます。PSK-RC4-SHA）。

ハンドシェイクが成功した場合、使用されたクライアントランダムは、エントロピーが不十分なPRNGから生成されているため、出力は予測可能です。

d2i_ECPrivatekeyエラー後の解放後使用（CVE-2015-0209）

d2i_ECPrivateKey関数を介して消費された不正なEC秘密鍵ファイルにより、解放後使用状態が発生する可能性があります。これにより、いくつかの秘密鍵解析関数（d2i_PrivateKeyやEVP_PKCS82PKEYなど）で二重解放が発生し、信頼できないソースからEC秘密鍵を受信するアプリケーションのDoS攻撃やメモリ破損につながる可能性があります。このシナリオはまれであると考えられています。

X509_to_X509_REQ NULLポインターderef（CVE-2015-0288）

証明書のキーが無効な場合、関数X509_to_X509_REQはNULLポインター逆参照でクラッシュします。この関数が実際に使用されることはほとんどありません。

重大度スコア

以下の表は、さまざまな脆弱性のCVSS 2.0脆弱性スコアを示しています。

OpenSSL 1.0.2 ClientHello sigalgs DoS（CVE-2015-0291）

CVSS基本スコア：5.0