Medium
Medium
アドバイザリーID : cisco-sa-20161114-openssl
初公開日 : 2016-11-14 16:00
最終更新日 : 2017-01-11 13:45
バージョン 1.9 : Interim
回避策 :
No workarounds available
Cisco バグ ID : CSCvc13497
CSCvc08680
CSCvc08623
CSCvc08689
CSCvc08700
CSCvc08567
CSCvc08820
CSCvc08781
CSCvc08542
CSCvc08663
CSCvc08607
CSCvc08629
CSCvc08529
CSCvc08628
CSCvc08749
CSCvc08828
CSCvc08627
CSCvc08648
CSCvc08570
CSCvc08555
CSCvc08554
CSCvc08697
CSCvc08612
CSCvc08750
CSCvc08559
CSCvc08614
CSCvc08779
CSCvc08657
CSCvc08539
CSCvc08715
CSCvc08759
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
2016年11月10日、OpenSSL Software Foundationは3つの脆弱性に関するセキュリティアドバイザリをリリースしました。OpenSSL Software Foundationは、これらの脆弱性の1つを「重大な重大度」、1つを「中程度の重大度」、1つを「低い重大度」に分類しています。
これら2つの脆弱性は、1.1.0リリースシリーズの最新のOpenSSLバージョンにのみ影響します。残りの重大度「Low」の脆弱性は、1.0.2および1.1.0リリースシリーズのOpenSSLバージョンに影響します。
このアドバイザリは追加情報が入手可能になった時点で更新されます。
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161114-openssl
これら2つの脆弱性は、1.1.0リリースシリーズの最新のOpenSSLバージョンにのみ影響します。残りの重大度「Low」の脆弱性は、1.0.2および1.1.0リリースシリーズのOpenSSLバージョンに影響します。
このアドバイザリは追加情報が入手可能になった時点で更新されます。
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161114-openssl
該当製品
シスコでは、これらの脆弱性の影響を受ける製品と、影響を受ける各製品への影響を判断するために、製品ラインを調査しました。製品が影響を受けるかどうかについては、このアドバイザリの「脆弱性が存在する製品」および「脆弱性を含んでいないことが確認された製品」の項を参照してください。「脆弱性が存在する製品」セクションに、影響を受ける各製品のCisco Bug IDが記載されています。バグはCisco Bug Search Toolで検索でき、利用可能な回避策や修正済みソフトウェアリリースなど、プラットフォーム固有の追加情報が含まれます。
調査中の製品
次のシスコ製品は、本アドバイザリに記載された脆弱性のうち1つ以上の影響を受けるかどうかを判断するために現在調査中です。
Unified Computing
シスコ ホステッド サービス
調査中の製品
次のシスコ製品は、本アドバイザリに記載された脆弱性のうち1つ以上の影響を受けるかどうかを判断するために現在調査中です。
Unified Computing
- Cisco HyperFlex System
シスコ ホステッド サービス
- Cisco Cloud Web Security
脆弱性のある製品
次の表に、このアドバイザリに記載された重大度が低い脆弱性CVE-2016-7055のみから影響を受けるシスコ製品を示します。
注:この脆弱性の重大度が低いため、現時点ではOpenSSL Software Foundationは新しい1.0.2リリースを発行する予定はありません。
| 製品 | Cisco Bug ID | Fixed Release Availability |
|---|---|---|
| Collaboration and Social Media | ||
| Cisco WebEx Meetings Serverリリース1.x | 0.CSCvc08554 | 修正は必要ありません |
| Cisco WebEx Meetings Serverリリース2.x | 0.CSCvc08554 | 修正は必要ありません |
| エンドポイント クライアントとクライアント ソフトウェア | ||
| Cisco Agent for OpenFlow | 0.CSCvc08715 | 修正は必要ありません |
| Cisco Jabber Software Development Kit | 0.CSCvc08781 | 修正はありません |
| Cisco Jabber for Android | 0.CSCvc08820 | 修正は必要ありません |
| Cisco Jabber for Mac | 0.CSCvc08779 | 修正はありません |
| Cisco Webex Business Suite | 0.CSCvc08557 | 修正は必要ありません |
| Cisco WebEx Meetings Server – マルチメディアプラットフォーム(MMP) | 0.CSCvc08559 | 修正は必要ありません |
| Cisco WebEx Meetings Server - SSLゲートウェイ | 0.CSCvc08555 | 修正は必要ありません |
| ネットワーク アプリケーション、サービス、およびアクセラレーション | ||
| Cisco 1000 シリーズ Connected Grid ルータ | 0.CSCvc08663 | 15.6.3(2016年12月11日) |
| Cisco Wide Area Application Services(WAAS) | 0.CSCvc08680 | 6.4.1(2017年4月17日) |
| ネットワークおよびコンテンツ セキュリティ デバイス | ||
| Ciscoコンテンツセキュリティアプライアンスアップデートサーバ | 0.CSCvc08542 | 修正はありません |
| Cisco FireSIGHT システム ソフトウェア | 0.CSCvc08539 | 修正は必要ありません |
| Cisco Identity Services Engine(ISE) | 0.CSCvc08700 | 修正プログラムはありません。 |
| ネットワーク管理とプロビジョニング | ||
| Cisco NetFlow Generation Appliance | 0.CSCvc08619 | 修正はありません |
| Cisco Network Analysis Module | 0.CSCvc08614 | |
| Cisco Prime IP Express | 0.CSCvc08612 | 修正は必要ありません |
| Cisco Prime Network Registrar | 0.CSCvc08607 | 修正は必要ありません |
| Cisco Security Manager | 0.CSCvc08623 | 4.11(2017年1月20日) 4.12(2016年12月30日) 4.13(2017年2月24日) |
| Routing and Switching - Enterprise and Service Provider | ||
| Cisco Application Policy Infrastructure Controller(APIC) | 0.CSCvc08570 | |
| Cisco Connected Gridルータ:Cisco CG-OSソフトウェアを実行 | 0.CSCvc08565 | 15.6.3(2016年12月11日) |
| Cisco IOS XR ソフトウェア | 0.CSCvc08628 | 修正は必要ありません |
| Cisco Nexus 9000 シリーズ ファブリック スイッチ(ACI モード) | 0.CSCvc08571 | 修正は必要ありません。 |
| Cisco ONS 15454 Series Multiservice Provisioning Platforms | 0.CSCvc08689 | 10.62 (2017年4月) |
| Unified Computing | ||
| Cisco UCS Director | 0.CSCvc08567 | 6.1(2016年12月14日) 6.5(2017年3月17日) |
| 音声およびユニファイド コミュニケーション デバイス | ||
| Cisco Computer Telephony Integration Object Server(CTIOS) | 0.CSCvc08529 | 修正は必要ありません |
| Cisco UC Integration for Microsoft Lync | 0.CSCvc10784 | 修正はありません |
| Cisco Unified Attendant Console Advanced | 0.CSCvc08749 | Affected systems have been updated. |
| Cisco Unified Attendant Console Business Edition | 0.CSCvc08749 | Affected systems have been updated. |
| Cisco Unified Attendant Console Department Edition | 0.CSCvc08749 | Affected systems have been updated. |
| Cisco Unified Attendant Console Enterprise Edition | 0.CSCvc08749 | Affected systems have been updated. |
| Cisco Unified Attendant Console Premium Edition | 0.CSCvc08749 | Affected systems have been updated. |
| Cisco Unified Attendant Console Standard | 0.CSCvc08750 | 12.0(1) (AUG-2017) |
| Cisco Unified Communications Manager IM & Presence Service(旧称 CUPS) | 0.CSCvc08769 | 修正は必要ありません |
| Cisco Unified Contact Center Enterprise | 0.CSCvc08529 | 修正は必要ありません |
| Cisco Unified IP 8961電話 | 0.CSCvc08770 | |
| Cisco Unified IP 9951電話 | 0.CSCvc08770 | |
| Cisco Unified IP 9971電話 | 0.CSCvc08770 | |
| Cisco Unified Intelligent Contact Management Enterprise | 0.CSCvc08529 | 修正は必要ありません |
| Cisco Unified Workforce Optimization - Quality Managementソリューション | 0.CSCvc08828 | 修正は必要ありません |
| Cisco Unified Workforce Optimization | 0.CSCvc08830 | 修正は必要ありません |
| Cisco Unity Connection | 0.CSCvc08759 | 修正は必要ありません |
| Cisco Virtualization Experience Media Edition | 0.CSCvc08826 | 修正はありません |
| ビデオ、ストリーミング、テレプレゼンス、およびトランスコーディング デバイス | ||
| Cisco Edge 300 Digital Media Player | 0.CSCvc08726 | 1.6RB6(2016年12月11日) |
| Cisco TelePresence Conductor | 0.CSCvc08629 | 3.4.1(2016年12月) |
| Cisco TelePresence MX Series | 0.CSCvc08648 | 修正は必要ありません |
| Cisco TelePresence Profile Series | 0.CSCvc08648 | 修正は必要ありません |
| Cisco TelePresence SX Series | 0.CSCvc08648 | 修正は必要ありません |
| Cisco TelePresence System EX シリーズ | 0.CSCvc08648 | 修正は必要ありません |
| Cisco Telepresence Integrator C シリーズ | 0.CSCvc08648 | 修正は必要ありません |
| Cisco Video Surveillance Media Server | 0.CSCvc08697 | 修正はありません |
| Cisco Videoscape Control Suite | 0.CSCvc08657 | 修正プログラムはありません。 |
| ワイヤレス | ||
| Cisco ワイヤレス LAN コントローラ | 0.CSCvc08627 | |
| シスコ ホステッド サービス | ||
| Cisco WebEx Messenger Service | 0.CSCvc08556 | 修正はありません |
注:この脆弱性の重大度が低いため、現時点ではOpenSSL Software Foundationは新しい1.0.2リリースを発行する予定はありません。
脆弱性を含んでいないことが確認された製品
シスコは、このアドバイザリに記載された脆弱性が次のシスコ製品には影響を与えないことを確認しました。
ケーブル モデム
Collaboration and Social Media
エンドポイント クライアントとクライアント ソフトウェア
ネットワーク アプリケーション、サービス、およびアクセラレーション
ネットワークおよびコンテンツ セキュリティ デバイス
ネットワーク管理とプロビジョニング
Routing and Switching - Enterprise and Service Provider
ルーティングおよびスイッチング - スモール ビジネス
Unified Computing
音声およびユニファイド コミュニケーション デバイス
ビデオ、ストリーミング、テレプレゼンス、およびトランスコーディング デバイス
ワイヤレス
シスコ ホステッド サービス
ケーブル モデム
- Cisco IOS XEソフトウェア:Webユーザインターフェイスのみ
Collaboration and Social Media
- Cisco SocialMiner
- Cisco WebEx Node for MCS
エンドポイント クライアントとクライアント ソフトウェア
- Cisco AnyConnect Secure Mobility Client for Android
- デスクトッププラットフォーム向けCisco AnyConnectセキュアモビリティクライアント
- Cisco AnyConnect Secure Mobility Client for Linux
- Cisco AnyConnect Secure Mobility Client for Mac OS X
- Cisco AnyConnect Secure Mobility Client for Windows
- Cisco AnyConnect Secure Mobility Client for iOS
- Cisco Jabber Guest
- Cisco Jabber for Windows
- Cisco WebEx Meetingsクライアント – オンプレミス
- Cisco WebEx Meetings for BlackBerry
ネットワーク アプリケーション、サービス、およびアクセラレーション
- Cisco Application and Content Networking System(ACNS)
- Cisco Visual Quality Experience Server
- Cisco Visual Quality Experience Tools Server
ネットワークおよびコンテンツ セキュリティ デバイス
- Cisco Adaptive Security Appliance(ASA)
- シスコの火力9300
- Cisco Content Security Management Appliance (SMA)
- Cisco Email Security Appliance (ESA)
- Cisco Physical Access Gateway
- Cisco Secure Access Control System(ACS)
- Cisco Virtual Security Gateway for Microsoft Hyper-V
- Cisco Web Security Appliance (WSA)
ネットワーク管理とプロビジョニング
- Cisco Application Networking Manager
- Cisco Business Video Services Automation Software
- Cisco Configuration Professional
- Cisco Digital Media Manager
- Cisco Evolved Programmable Network Manager
- Cisco管理アプライアンス
- Cisco Multicast Manager
- Ciscoネットワークプロファイラ
- Cisco Packet Tracer
- Cisco Policy Suite
- Cisco Prime Access Registrar
- Cisco Prime Collaboration Assurance
- Cisco Prime Collaboration Deployment
- Cisco Prime Collaboration Manager
- Cisco Prime Collaboration Provisioning
- Cisco Prime Data Centerネットワークマネージャ
- Cisco Prime Home
- Cisco Prime Infrastructureプラグアンドプレイスタンドアロンゲートウェイ
- Cisco Prime Infrastructure
- Cisco Prime LAN Management Solution - Solaris
- Cisco Prime License Manager
- Cisco Prime Network Registrar IP アドレス マネージャ(IPAM)
- Cisco Prime Network Services Controller
- Cisco Prime Network
- Cisco Prime Opticalサービス プロバイダー向け
- Cisco Prime Performance Manager
- Cisco Smart Net Total Care - ローカル コレクタ アプライアンス
- Cisco UCS Central ソフトウェア
- Cisco Unified Intelligence Center
Routing and Switching - Enterprise and Service Provider
- Cisco 910 Industrial Router
- Cisco ASR 5000 シリーズ
- Cisco Broadband Access Center for Telco and Wireless
- Cisco IOSおよびCisco IOS XEソフトウェア
- Cisco MDS 9000 Series Multilayer Switches
- Cisco Nexus 1000V シリーズ スイッチ
- VMware vSphere向けCisco Nexus 1000Vスイッチ
- Cisco Nexus 3000 Series Switches
- Cisco Nexus 3500 Series Switches
- Cisco Nexus 4000 Series Blade Switches
- Cisco Nexus 5000 Series Switches
- Cisco Nexus 6000 Series Switches
- Cisco Nexus 7000 Series Switches
- Cisco Nexus 9000 シリーズ スイッチ(スタンドアロン、NX-OS モード)
- Cisco Service Control Operating System
ルーティングおよびスイッチング - スモール ビジネス
- Cisco 220シリーズSmart Plus(Sx220)スイッチ
- Cisco 500シリーズスタッカブル(Sx500)マネージドスイッチ
- Cisco Small Business 300シリーズ(Sx300)マネージドスイッチ
Unified Computing
- Cisco Common Services Platform Collector
- Cisco UCS 6200 シリーズ ファブリック インターコネクト
- Cisco UCS Bシリーズブレードサーバ
- Cisco UCS Manager
- Cisco UCS スタンドアロン C シリーズ ラック サーバ - 統合管理コントローラ
音声およびユニファイド コミュニケーション デバイス
- Cisco ATA 187 Analog Telephone Adaptor
- Cisco ATA 190シリーズアナログターミナルアダプタ
- Cisco Agent Desktop for Cisco Unified Contact Center Express
- Cisco Agent Desktop
- Cisco DX シリーズ IP フォン
- Cisco Emergency Responder
- Cisco Finesse
- Cisco Hosted Collaboration Mediation Fulfillment
- Cisco IP 7800シリーズ電話機
- Cisco IP 8800シリーズPhone - VPN機能
- Cisco IP Interoperability and Collaboration System (IPICS)
- Cisco Jabber for iPhone and iPad
- Cisco MediaSense
- Cisco Paging Server(Informacast)
- Cisco Paging Server
- Cisco Remote Silent Monitoring
- Cisco SPA112 2-Port Phone Adapter
- Cisco SPA122ルータ内蔵アナログ電話アダプタ(ATA)
- Cisco SPA232D Multi-Line DECTアナログ電話アダプタ(ATA)
- Cisco SPA51x IP電話
- Cisco SPA525G 5回線IP電話
- Cisco SPA8000 8ポートIPテレフォニーゲートウェイ
- Cisco SPA8800 IP テレフォニー ゲートウェイ(4 FXS ポートと 4 FXO ポートを内蔵)
- Cisco Small Business SPA300シリーズIP Phone
- Cisco Small Business SPA500シリーズIP Phone
- Cisco TAPI Service Provider(TSP)
- Cisco Unified Communications Domain Manager
- Cisco Unified Communications Manager Session Management Edition
- Cisco Unified Communications Manager
- Cisco Unified Contact Center Express
- Cisco Unified Customer Voice Portal
- Cisco Unified E-Mail Interaction Manager
- Cisco Unified IP 6901電話
- Cisco Unified IP 6945電話
- Cisco Unified IP 7900シリーズ電話機
- Cisco Unified IP 7937電話
- サードパーティ コール制御向け Cisco Unified IP 8831 Conference Phone
- Cisco Unified IP 8831会議用電話機
- Cisco Unified IP 8945電話
- Cisco Unified MeetingPlace
- Cisco Unified SIP Proxy ソフトウェア
- Cisco Unified Web Interaction Manager
- Cisco Unified Wireless IP Phone
- Cisco Unity Express
- Cisco Virtual PGW 2200 ソフトスイッチ
- Cisco Virtualized Voice Browser
ビデオ、ストリーミング、テレプレゼンス、およびトランスコーディング デバイス
- Cisco 4300シリーズデジタルメディアプレーヤー
- Cisco 4400シリーズデジタルメディアプレーヤー
- Cisco Cloud Object Storage
- Cisco D9859 Advanced Receiver Transcoder
- Cisco DCM Series D990x Digital Content Manager
- Cisco Edge 340 Digital Media Player
- Cisco Enterprise Content Delivery System (ECDS)
- Cisco Expressway Series
- Cisco MXE 3500 Series Media Experience Engines
- Cisco Show and Share
- Cisco TelePresenceコンテンツサーバ
- Cisco TelePresence ISDN Gateway 3241
- Cisco TelePresence ISDN Gateway MSE 8321
- Cisco TelePresence ISDN Link
- Cisco TelePresence MCU 4200 シリーズ、4500 シリーズ、5300 シリーズ、MSE 8420、および MSE 8510
- Cisco TelePresence Serial Gateway Series
- Cisco TelePresence Server 7010 および MSE 8710
- Cisco TelePresence Server on Multiparty Media 310および320
- Cisco TelePresence Server on Multiparty Media 820
- Cisco TelePresence Server on Virtual Machine
- Cisco TelePresence Supervisor MSE 8050
- Cisco TelePresence System 1000
- Cisco TelePresence System 1100
- Cisco TelePresence System 1300
- Cisco TelePresence System 3000 Series
- Cisco TelePresence System 500-32
- Cisco TelePresence System 500-37
- Cisco TelePresenceシステムTX1310
- Cisco TelePresence TX9000 シリーズ
- Cisco TelePresence Video Communication Server(VCS)
- Cisco Video Distribution Suite for Internet Streaming(VDS-IS/CDS-IS)
- Cisco Video Surveillance 3000 Series IP Cameras
- Cisco Video Surveillance 4000 Series High-Definition IP Cameras
- Cisco Video Surveillance 4300E/4500E High-Definition IP Cameras
- Cisco Video Surveillance 6000 Series IP Cameras
- Cisco Video Surveillance 7000 Series IP Cameras
- Cisco Video Surveillance PTZ IP Cameras
- Cisco Videoscape AnyRes Live
- Cisco Videoscape Voyager Vantage
- Tandberg Codian ISDN Gateway 3210、3220、および3240
- Tandberg Codian MSE 8320
ワイヤレス
- Cisco Mobility Services Engine
シスコ ホステッド サービス
- ネットワーク認証のためのシスコアセスメントサービス
- シスコのクラウドおよびシステム管理
- Cisco Collaboration仮想マシン配置ツール
- Cisco Connected Analytics For Collaboration
- Cisco Connectivity
- Cisco Feature Analyticsサービス
- Cisco ICディストリビューション – 内部
- Cisco Network Device Security Assessment Service
- Cisco Network Performance Analysis
- Cisco One Portal
- Cisco Partner Support Service 1.x
- Cisco Network Configuration and Change Management
- Cisco Proactive Network Operations Center
- Cisco Registered Envelope Service
- Cisco Sentinel
- Cisco Services Provisioning Platform
- Cisco Smart Care
- Cisco Smart Collector - Product Lifecycle Manager
- Cisco Smart Net Total Care – コアサービス
- Cisco Smart Net Total Care – スマートインタラクション
- Cisco Smart Net Total Care
- Cisco Unified Communications Upgrade Readiness Assessment
- Cisco Unified Communications/Collaborationサイジングツール
- Cisco Unified Service Delivery プラットフォーム
- Cisco Universal Small Cell 5000シリーズ:リリース3.4.2.xが稼働
- Cisco Universal Small Cell 7000シリーズ:リリース3.4.2.xが稼働
- Cisco Universal Small Cell CloudBase Factory Recovery Root Filesystem(リリース2.99.4以降)
- Cisco UniversalスモールセルIuh
- クラウドおよびマネージドサービス
- ICキャプチャ
- ネットワーク健全性フレームワーク
- サービス分析プラットフォーム
- Smart Net Total Care – 契約情報システムプロセスコントローラ
- Smart Net Total Care – 契約情報システム
- ソフトウェア運用リスクアセスメント(SORA)
詳細
OpenSSL Software Foundationセキュリティアドバイザリで2016年11月10日に公開されたCommon Vulnerabilities and Exposures(CVE)IDおよび脆弱性の名前は次のとおりです。
OpenSSL CMSのヌル逆参照の脆弱性
OpenSSL 1.1.0のASN.1 CHOICEタイプを処理するコードの脆弱性により、認証されていないリモートの攻撃者がサービス妨害(DoS)状態を引き起こす可能性があります。
この脆弱性は、特定の無効なエンコーディングを解放しようとする場合に、構造体コールバックにNULL値が渡されることに起因します。攻撃者は、巧妙に細工された入力を送信して該当ソフトウェアで処理することにより、この脆弱性を不正利用する可能性があります。エクスプロイトに成功すると、攻撃者はアプリケーションの正常な動作を停止させ、DoS状態を引き起こす可能性があります。
本脆弱性のIDはCVE ID CVE-2016-7053です。
OpenSSL ChaCha20/Poly1305ヒープバッファオーバーフローの脆弱性
OpenSSLの*-CHACHA20-POLY1305暗号スイートの脆弱性により、認証されていないリモートの攻撃者がターゲットシステムのクラッシュを引き起こし、その結果サービス妨害(DoS)状態が発生する可能性があります。
この脆弱性は、該当ソフトウェアによるユーザ指定データの検証が不適切であることに起因します。攻撃者は、Transport Layer Security(TLS)接続を介して、該当ソフトウェアの*-CHACHA20-POLY1305暗号スイートに巧妙に細工された大量のデータを送信することで、この脆弱性を不正利用する可能性があります。エクスプロイトに成功すると、攻撃者は該当ソフトウェアをクラッシュさせ、その結果、ターゲットシステムでDoS状態が発生する可能性があります。
本脆弱性のIDはCVE ID CVE-2016-7054です。
OpenSSLのモンゴメリ乗算により不正確な結果が生成される脆弱性
OpenSSLの脆弱性により、認証またはキーネゴシエーションが失敗し、サービス拒否(DoS)状態が発生する可能性があります。
この脆弱性は、楕円曲線アルゴリズムを使用してOpenSSLを使用する際に発生するモンゴメリ乗算の数学的エラーに起因します。この脆弱性は、暗号化操作を実行する際に、外部の攻撃者の操作なしで発生する可能性があります。不正な数学的計算に起因するエラーにより、認証またはキーネゴシエーション中にOpenSSLが失敗し、DoSが発生する可能性があります。
本脆弱性のIDはCVE ID CVE-2016-7055です。
脆弱性の詳細については、OpenSSL Software Foundationによって公開されている2016年11月のOpenSSLセキュリティアドバイザリを参照してください。
- CVE-2016-7053:OpenSSL CMSのヌル逆参照の脆弱性
- CVE-2016-7054:OpenSSL ChaCha20/Poly1305のヒープバッファオーバーフローの脆弱性
- CVE-2016-7055:OpenSSLのモンゴメリ乗算により不正確な結果が生成される脆弱性
OpenSSL CMSのヌル逆参照の脆弱性
OpenSSL 1.1.0のASN.1 CHOICEタイプを処理するコードの脆弱性により、認証されていないリモートの攻撃者がサービス妨害(DoS)状態を引き起こす可能性があります。
この脆弱性は、特定の無効なエンコーディングを解放しようとする場合に、構造体コールバックにNULL値が渡されることに起因します。攻撃者は、巧妙に細工された入力を送信して該当ソフトウェアで処理することにより、この脆弱性を不正利用する可能性があります。エクスプロイトに成功すると、攻撃者はアプリケーションの正常な動作を停止させ、DoS状態を引き起こす可能性があります。
本脆弱性のIDはCVE ID CVE-2016-7053です。
OpenSSL ChaCha20/Poly1305ヒープバッファオーバーフローの脆弱性
OpenSSLの*-CHACHA20-POLY1305暗号スイートの脆弱性により、認証されていないリモートの攻撃者がターゲットシステムのクラッシュを引き起こし、その結果サービス妨害(DoS)状態が発生する可能性があります。
この脆弱性は、該当ソフトウェアによるユーザ指定データの検証が不適切であることに起因します。攻撃者は、Transport Layer Security(TLS)接続を介して、該当ソフトウェアの*-CHACHA20-POLY1305暗号スイートに巧妙に細工された大量のデータを送信することで、この脆弱性を不正利用する可能性があります。エクスプロイトに成功すると、攻撃者は該当ソフトウェアをクラッシュさせ、その結果、ターゲットシステムでDoS状態が発生する可能性があります。
本脆弱性のIDはCVE ID CVE-2016-7054です。
OpenSSLのモンゴメリ乗算により不正確な結果が生成される脆弱性
OpenSSLの脆弱性により、認証またはキーネゴシエーションが失敗し、サービス拒否(DoS)状態が発生する可能性があります。
この脆弱性は、楕円曲線アルゴリズムを使用してOpenSSLを使用する際に発生するモンゴメリ乗算の数学的エラーに起因します。この脆弱性は、暗号化操作を実行する際に、外部の攻撃者の操作なしで発生する可能性があります。不正な数学的計算に起因するエラーにより、認証またはキーネゴシエーション中にOpenSSLが失敗し、DoSが発生する可能性があります。
本脆弱性のIDはCVE ID CVE-2016-7055です。
脆弱性の詳細については、OpenSSL Software Foundationによって公開されている2016年11月のOpenSSLセキュリティアドバイザリを参照してください。
回避策
これらの脆弱性の1つ以上に対処する回避策はCisco Bugsに記載され、該当製品ごとにCisco Bug Search Toolからアクセスできます。
修正済みソフトウェア
該当するソフトウェアリリースのアップデートは利用可能になった時点で公開され、それらのアップデートに関する情報はCisco Bugsに記載されます。Cisco Bug Search Toolで検索できます。
ソフトウェアのアップグレードを検討する際には、[シスコのセキュリティアドバイザリおよびアラート(Cisco Security Advisories and Alerts)] ページで入手できるシスコ製品のアドバイザリを定期的に参照して、侵害を受ける可能性と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
ソフトウェアのアップグレードを検討する際には、[シスコのセキュリティアドバイザリおよびアラート(Cisco Security Advisories and Alerts)] ページで入手できるシスコ製品のアドバイザリを定期的に参照して、侵害を受ける可能性と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
推奨事項
$propertyAndFields.get("recommendations")
不正利用事例と公式発表
Cisco Product Security Incident Response Team(PSIRT)は、本アドバイザリに記載されている脆弱性の不正利用事例やその公表を確認していません。
出典
これらの脆弱性は、2016年11月10日にOpenSSL Software Foundationによって公開されました。
URL
改訂履歴
| バージョン | 説明 | セクション | ステータス | 日付 |
|---|---|---|---|---|
| 1.9 | 脆弱性のある製品と脆弱性のない製品のリストを更新。 | 「脆弱性のある製品」および「脆弱性を含んでいないことが確認された製品」 | Interim | 2017年1月11日 |
| 1.8 | 脆弱性のある製品と脆弱性のない製品のリストを更新。 | 「脆弱性のある製品」および「脆弱性を含んでいないことが確認された製品」 | Interim | 2016年12月2日 |
| 1.7 | 脆弱性のある製品と脆弱性のない製品のリストを更新。 | 「脆弱性のある製品」および「脆弱性を含んでいないことが確認された製品」 | Interim | 2016-November-23 |
| 1.6 | 脆弱性のある製品と脆弱性のない製品のリストを更新。 | 「脆弱性のある製品」および「脆弱性を含んでいないことが確認された製品」 | Interim | 2016-November-22 |
| 1.5 | 脆弱性のある製品と脆弱性のない製品のリストを更新。 | 「脆弱性のある製品」および「脆弱性を含んでいないことが確認された製品」 | Interim | 2016-November-21 |
| 1.4 | 脆弱性のある製品と脆弱性のない製品のリストを更新。 | 「脆弱性のある製品」および「脆弱性を含んでいないことが確認された製品」 | Interim | 2016年11月18日 |
| 1.3 | 脆弱性のある製品と脆弱性のない製品のリストを更新。 | 「脆弱性のある製品」および「脆弱性を含んでいないことが確認された製品」 | Interim | 2016年11月17日 |
| 1.2 | 脆弱性のある製品と脆弱性のない製品のリストを更新。 | 「脆弱性のある製品」および「脆弱性を含んでいないことが確認された製品」 | Interim | 2016年11月16日 |
| 1.1 | 脆弱性のある製品と脆弱性のない製品のリストを更新。 | 「脆弱性のある製品」および「脆弱性を含んでいないことが確認された製品」 | Interim | 2016年11月15日 |
| 1.0 | 初回公開リリース | — | Interim | 2016年11月14日 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。