このページは、HotFix Reportで配信されたセキュリティ情報のバックナンバーです。「更新日」に明記された時点での情報ですのでご注意ください。ご購読の申し込みは「HotFix Report購読の申し込み」 をご参照ください。

トップページ サービスの詳細 セキュリティ情報 購読の申し込み
 

更新日:2004/03/24
不具合ならびに追加情報
情報の種類 セキュリティ番号 タイトル
不具合 −/− OpenSSLの脆弱性により、サービス妨害攻撃が実行される危険性
不具合 −/− そのほかの不具合情報
 
[不具合情報]
 
HotFix Alert:
 
セキュリティ番号:
 
サポート技術情報:
OpenSSLの脆弱性により、サービス妨害攻撃が実行される危険性
情報ソース OpenSSL Project
不具合の内容 OpenSSL利用アプリケーション/ネットワーク機器のサービス拒否
発生条件 OpenSSLの利用
報告日 2004年3月17日

 OpenSSL Projectは、同プロジェクトが実装しているSSL/TLSプロトコル・ライブラリ「OpenSSL」にDoS攻撃を許す脆弱性があることを明らかにしました。この脆弱性は、OpenSSL(SSL/TLSライブラリ)の「0.9.6c」から「0.9.6l」、「0.9.7a」から「0.9.7c」までのバージョンに存在します。これらのバージョンを採用しているアプリケーションやネットワーク機器が脆弱性の影響を受けることになります。OpenSSLは、広範なアプリケーションやネットワーク機器で採用されているため、意識せずに利用している場合もあります。社内で利用しているネットワーク関連のアプリケーションや機器のベンダのWebサイトなどで利用の有無を確認してください。

・OpenSSL Projectのセキュリティ情報:
http://www.openssl.org/news/secadv_20040317.txt

 OpenSSL Projectでは、すでにこの脆弱性を解消したバージョン(「0.9.7d」と「0.9.6m」)の提供を開始しています。OpenSSLを対策済みのバージョンに変更するか、各ベンダが提供する修正プログラムを適用してください。
情報の対象:
 OpenSSL利用ソフトウェアなど

詳細:
 OpenSSLは、多くのソフトウェアやネットワーク機器で採用されているSSL/TLSライブラリです。例えば、Cisco SystemsのCatalystシリーズなどもOpenSSLを利用しているため、今回の脆弱性の影響を受けます。

 今回の脆弱性は、do_change_cipher_spec()関数の欠陥によりNULLポインタが設定されてしまうというものと、Kerberosを利用する際のSSL/TLSハンドシェイク・コードの欠陥によりリモートからサービスを停止させられる(「0.9.7a」から「0.9.7c」のみ)という2つです。この脆弱性により、細工を施したデータを受信すると、OpenSSLを利用しているサービスが停止させられる危険性があります。

 Windows本体はOpenSSLを利用していませんが、「TechNetセキュリティ情報:MS04-007(ASN.1の脆弱性により、コードが実行される)」において、OpenSSLと同様の脆弱性がWindowsにも存在したことが明らかになっています。このことから、今回と同様の脆弱性が存在する可能性も否定できません。今後の動向にご注意ください。
   

■そのほかの不具合/追加情報

・サポート技術情報 817452(Store.exeが応答を停止し、ワトソン博士のエラー報告が生成される):[Exchange Server 5.5]
http://support.microsoft.com/default.aspx?scid=kb;ja;817452

・サポート技術情報 820850(Windows Server 2003ベースのコンピュータでOutlook Web Accessを使用すると、添付ファイル、ログオン、パブリック フォルダに関するさまざまな問題が発生する):[Exchange Server 2003][SBS 2003][Windows Server 2003]
http://support.microsoft.com/default.aspx?scid=kb;ja;820850

・サポート技術情報 822245(Exchange 2000 Serverメッセージ キュー内のメッセージがまったく配信されない):[Exchange 2000 Server]
http://support.microsoft.com/default.aspx?scid=kb;ja;822245

・サポート技術情報 834466(Outlook 2003クライアントがExchange 5.5サーバーのメールボックスに接続するとInformation StoreサービスとOutlook 2003が断続的にクラッシュする):[Exchange Server 5.5][Exchange 2000 Server][Outlook 2003]
http://support.microsoft.com/default.aspx?scid=kb;ja;834466

・サポート技術情報 175148(Webページをスクロールするとコンピュータが応答を停止する):[Internet Explorer 4.0/4.01/5.0/5.01/5.5][Outlook Express 4.0/4.01/5.0/5.01/5.5]
http://support.microsoft.com/default.aspx?scid=kb;ja;175148

・サポート技術情報 328921(添付ファイルを含む会議の更新を開くとエラーが発生する):[Outlook 2000]
http://support.microsoft.com/default.aspx?scid=kb;ja;328921

・サポート技術情報 330460([サーバー上にメッセージのコピーを置く] を指定しているにもかかわらずOutlookでメッセージをダウンロードするとPOP3サーバーからメッセージが削除される):[Outlook 2002]
http://support.microsoft.com/default.aspx?scid=kb;ja;330460

・サポート技術情報 316104(文書に複数ページにわたる段落があるとパフォーマンスが低下する):[Word 2002]
http://support.microsoft.com/default.aspx?scid=kb;ja;316104

・サポート技術情報 811946(電子メール メッセージに返信するときにOutlookが応答を停止する):[Word 2002 SP-2]
http://support.microsoft.com/default.aspx?scid=kb;ja;811946

・サポート技術情報 812123(WebページをWord文書に追加するとWordが突然終了する):[Word 2000]
http://support.microsoft.com/default.aspx?scid=kb;ja;812123

・サポート技術情報 839309(ヘッダーの編集中に強制終了が発生する):[Word 2000]
http://support.microsoft.com/default.aspx?scid=kb;ja;839309

 
UpdateEXPERTは、管理者の負担を大幅に軽減するHotFix管理ツールです。
HotFix Reportは、UpdateEXPERTユーザー向けの情報を含んでいます。UpdateEXPERTに関する詳細ならびにお問い合わせは、アップデートテクノロジー株式会社のホームページをご参照ください。
 
Copyright (C) Digital Advantage Corp.
このメールは、HotFix Reportにご登録いただいておりますユーザー様にお送りしています。
無断で複製・再配信などを行うことはできません。このメールに関する問い合わせ先info@hotfix.jp
HotFix Reportでは、細心の注意を払って情報提供を行っておりますが、本サービスにおける情報の正確性、最新性、適切性などについて、明示的又は黙示的な保証を行いません。また本サービスの停止や欠陥、それらに起因して発生する損失や損害について、一切責任を負いません。