Headline
CVE-2006-3894: RSA BSAFE Cert-C および Crypto-C にサービス運用妨害 (DoS) の脆弱性
The RSA Crypto-C before 6.3.1 and Cert-C before 2.8 libraries, as used by RSA BSAFE, multiple Cisco products, and other products, allows remote attackers to cause a denial of service via malformed ASN.1 objects.
公開日:2007/05/22 最終更新日:2015/10/21
**JVNVU#754281
RSA BSAFE Cert-C および Crypto-C にサービス運用妨害 (DoS) の脆弱性
**
RSA BSAFE Cert-C および Crypto-C にはサービス運用妨害 (DoS) の脆弱性が存在します。
* Crypto-C 6.3.1 より前のバージョン
- Cert-C 2.8 より前のバージョン
RSAセキュリティが提供するその他の製品は、本脆弱性の影響を受けません。
本脆弱性は Crypto-C 6.3.1、Cert-C 2.8 で修正されています。
RSAセキュリティが提供する RSA BSAFE Cert-C および Crypto-C は、それぞれデジタル証明書の処理や暗号アルゴリズムを実装するための C/C++言語のためのライブラリです。
RSA BSAFE Cert-C および Crypto-C には細工された ASN.1 オブジェクトの処理に問題があり、ライブラリが無限ループに陥る問題があります。
遠隔の第三者により、サービス運用妨害攻撃 (DoS) を受ける可能性があります。
アップグレードする
本脆弱性を修正した Crypto-C 6.3.1、Cert-C 2.8 がベンダから提供されています。当該製品のユーザは修正版へアップグレードすることが推奨します。修正版の入手方法に関しては、ベンダにお問い合わせ下さい。なお RSA は本脆弱性に Bug ID 46337 を割り当てています。ベンダへお問い合わせの際にこの Bug ID をご利用下さい。
- US-CERT Vulnerability Note VU#754281
RSA BSAFE libraries vulnerable to denial of service - CPNI Advisory 137
Cisco Security Advisory: Vulnerability In Crypto Library Advisory ID: cisco-sa-20070522-crypto
における脆弱性分析結果
2007/05/23
CVE を追加しました。
2007/05/23
CPNI Advisory へのリンクを追加しました。
2007/05/24
日立の JVNVU#754281への対応が更新されました。
2007/05/30
JPCERT REPORT へのリンクを追加しました。
2007/06/18
富士通の JVNVU#754281への対応が更新されました。
2007/07/02
富士通の JVNVU#754281への対応が更新されました。
2015/10/21
富士通株式会社のベンダステータスが更新されました