| Summary | The SSL protocol, as used in certain configurations in Microsoft Windows and Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Opera, and other products, encrypts data by using CBC mode with chained initialization vectors, which allows man-in-the-middle attackers to obtain plaintext HTTP headers via a blockwise chosen-boundary attack (BCBA) on an HTTPS session, in conjunction with JavaScript code that uses (1) the HTML5 WebSocket API, (2) the Java URLConnection API, or (3) the Silverlight WebClient API, aka a "BEAST" attack. |
|---|---|
| Publication Date | Sept. 7, 2011, 4:55 a.m. |
| Registration Date | Jan. 28, 2021, 4:39 p.m. |
| Last Update | Nov. 21, 2024, 10:30 a.m. |
| CVSS2.0 : MEDIUM | |
| Score | 4.3 |
|---|---|
| Vector | AV:N/AC:M/Au:N/C:P/I:N/A:N |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 中 |
| 攻撃前の認証要否(Au) | 不要 |
| 機密性への影響(C) | 低 |
| 完全性への影響(I) | なし |
| 可用性への影響(A) | なし |
| Get all privileges. | いいえ |
| Get user privileges | いいえ |
| Get other privileges | いいえ |
| User operation required | いいえ |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:opera:opera_browser:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:microsoft:internet_explorer:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:google:chrome:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:mozilla:firefox:-:*:*:*:*:*:*:* | |||||
| Configuration2 | or higher | or less | more than | less than | |
| cpe:2.3:o:siemens:simatic_rf68xr_firmware:*:*:*:*:*:*:*:* | 3.2.1 | ||||
| execution environment | |||||
| 1 | cpe:2.3:h:siemens:simatic_rf68xr:-:*:*:*:*:*:*:* | ||||
| Configuration3 | or higher | or less | more than | less than | |
| cpe:2.3:o:siemens:simatic_rf615r_firmware:*:*:*:*:*:*:*:* | 3.2.1 | ||||
| execution environment | |||||
| 1 | cpe:2.3:h:siemens:simatic_rf615r:-:*:*:*:*:*:*:* | ||||
| Configuration4 | or higher | or less | more than | less than | |
| cpe:2.3:a:haxx:curl:*:*:*:*:*:*:*:* | 7.10.6 | 7.23.1 | |||
| Configuration5 | or higher | or less | more than | less than | |
| cpe:2.3:o:redhat:enterprise_linux_server:5.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_server_aus:6.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_workstation:5.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_server:6.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_workstation:6.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_desktop:5.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_eus:6.2:*:*:*:*:*:*:* | |||||
| Configuration6 | or higher | or less | more than | less than | |
| cpe:2.3:o:debian:debian_linux:5.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:debian:debian_linux:6.0:*:*:*:*:*:*:* | |||||
| Configuration7 | or higher | or less | more than | less than | |
| cpe:2.3:o:canonical:ubuntu_linux:10.10:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:canonical:ubuntu_linux:11.04:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:canonical:ubuntu_linux:11.10:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:canonical:ubuntu_linux:10.04:*:*:*:-:*:*:* | |||||
| Title | SSL と TLS の CBC モードに選択平文攻撃の脆弱性 |
|---|---|
| Summary | SSL プロトコルと TLS プロトコルには、CBC モードで選択平文攻撃を受ける脆弱性が存在します。 SSL プロトコルと TLS プロトコルが CBC モードで動作する際、初期化ベクトル (IV) の決定方法に問題があり、選択平文攻撃を受ける脆弱性が存在します。 なお、本脆弱性を使用した攻撃方法が公開されています。 |
| Possible impacts | 暗号化した通信が中間者攻撃 (man-in-the-middle attack) によって傍受された場合、その内容を復号される可能性があります。 |
| Solution | 2011年9月28日現在、対策方法はありません。 [ワークアラウンドを実施する] 以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。 ・TLS 1.1 や TLS 1.2 を有効にする ・RC4 アルゴリズムを優先して使用する なお、これらのワークアラウンドを有効にするには、サーバとクライアントの双方で対応する必要があります。 |
| Publication Date | Sept. 28, 2011, midnight |
| Registration Date | Oct. 4, 2011, 10:30 a.m. |
| Last Update | July 16, 2019, 11:08 a.m. |
| マイクロソフト |
| Microsoft Internet Explorer |
| Microsoft Windows 7 (x32) SP1 以前 |
| Microsoft Windows 7 (x64) SP1 以前 |
| Microsoft Windows Server 2003 (itanium) SP2 |
| Microsoft Windows Server 2003 (x64) SP2 |
| Microsoft Windows Server 2003 SP2 |
| Microsoft Windows Server 2008 (itanium) SP2 |
| Microsoft Windows Server 2008 (x64) SP2 |
| Microsoft Windows Server 2008 (x86) SP2 |
| Microsoft Windows Server 2008 r2(itanium) SP2 |
| Microsoft Windows Server 2008 r2(x64) SP2 |
| Microsoft Windows Vista (x64) SP2 |
| Microsoft Windows Vista SP2 |
| Microsoft Windows XP (x64) SP2 |
| Microsoft Windows XP sp3 SP3 |
| ヒューレット・パッカード |
| HP System Management Homepage |
| オラクル |
| Java System Web Server 6.1 |
| Oracle Database 11.1.0.7 |
| Oracle Database 11.2.0.2 |
| Oracle Database 11.2.0.3 |
| Oracle Fusion Middleware 12.1.3 |
| Oracle HTTP Server 12.1.2.0 |
| Oracle Hyperion Essbase 11.1.2.2 |
| Oracle Hyperion Essbase 11.1.2.3 |
| Oracle iPlanet Web Proxy Server 4.0 |
| Oracle iPlanet Web Server 7.0 |
| Mozilla Foundation |
| Mozilla Firefox |
| アップル |
| Apple Mac OS X v10.7 から v10.7.3 (curl) |
| Apple Mac OS X v10.7 から v10.7.4 (Ruby) |
| Apple Mac OS X v10.7.2 (Java) |
| Apple Mac OS X v10.8.5 (Secure Transport) |
| Apple Mac OS X v10.9 未満 (CFNetwork SSL および python) |
| Apple Mac OS X v10.6.8 (Apache) |
| Apple Mac OS X v10.7 から v10.7.2 (Apache) |
| Apple Mac OS X Server v10.6.8 (Apache) |
| Apple Mac OS X Server v10.7 から v10.7.2 (Apache) |
| Apple Mac OS X Server v10.7 から v10.7.3 (curl) |
| Apple Mac OS X Server v10.7 から v10.7.4 (Ruby) |
| Apple Mac OS X Server v10.7.2 (Java) |
| Apple TV 4.0 から 4.3 |
| iOS 3.0 から 4.3.5 (iPhone 3GS および iPhone 4) |
| iOS 3.1 から 4.3.5 (iPod touch 第 3 世代以降) |
| iOS 3.2 から 4.3.5 (iPad) |
| Xcode 4.4 未満 (OS X v10.7.4 およびそれ以降) |
| 日本電気 |
| InfoCage PCセキュリティ 全バージョン |
| SecureWare/PKIアプリケーション開発キット V2.1 |
| WebSAM AssetSuite Ver3.0 以降 |
| WebSAM AssetSuite Ver3.2 以降 |
| WebSAM SECUREMASTER EnterpriseDirectoryServer/RDB連携システム 全バージョン |
| WebSAM SECUREMASTER AccessControlPlugIn Version 3.x から 6.x |
| WebSAM SECUREMASTER AccessControlServer Version 3.x から 6.x |
| WebSAM SECUREMASTER EnterpriseAccessManager Version 3.x から 6.x |
| 日立 |
| Cosminexus Application Server Enterprise Version 6 |
| Cosminexus Application Server Standard Version 6 |
| Cosminexus Application Server Version 5 |
| Cosminexus Client Version 6 |
| Cosminexus Developer Light Version 6 |
| Cosminexus Developer Professional Version 6 |
| Cosminexus Developer Standard Version 6 |
| Cosminexus Developer Version 5 |
| Cosminexus Developer's Kit for Java(TM) |
| Cosminexus HTTP Server |
| Cosminexus Primary Server Base Version 6 |
| Cosminexus Primary Server Base |
| Cosminexus Primary Server Version 6 |
| Cosminexus Server Standard Edition Version 4 |
| Cosminexus Server Web Edition Version 4 |
| Cosminexus Studio Standard Edition Version 4 |
| Cosminexus Studio Version 5 |
| HiRDB for Java(TM)/XML |
| Hitachi Developer's Kit for Java |
| Hitachi Device Manager Software |
| Hitachi Tuning Manager Software |
| Hitachi Web Server |
| Hitachi Web Server - Security Enhancement |
| Processing Kit for XML |
| uCosminexus Application Server |
| uCosminexus Application Server (64) |
| uCosminexus Application Server -R |
| uCosminexus Application Server Enterprise |
| uCosminexus Application Server Express |
| uCosminexus Application Server Light |
| uCosminexus Application Server Smart Edition |
| uCosminexus Application Server Standard |
| uCosminexus Application Server Standard-R |
| uCosminexus Client |
| uCosminexus Client for Plug-in |
| uCosminexus Developer |
| uCosminexus Developer 01 |
| uCosminexus Developer Light |
| uCosminexus Developer Professional |
| uCosminexus Developer Professional for Plug-in |
| uCosminexus Developer Standard |
| uCosminexus Operator |
| uCosminexus Operator for Service Platform |
| uCosminexus Portal Framework エントリセット |
| uCosminexus Primary Server Base |
| uCosminexus Primary Server Base(64) |
| uCosminexus Service Architect |
| uCosminexus Service Platform |
| uCosminexus Service Platform - Messaging |
| uCosminexus Service Platform (64) |
| Opera Software ASA |
| Opera |
| Google Chrome |
| VMware |
| VMware ESX 3.5 |
| VMware ESX 4.0 |
| VMware ESX 4.1 |
| VMware vCenter 4.0 (Windows) |
| VMware vCenter 4.1 (Windows) |
| VMware vCenter 5.0 (Windows) |
| VMware VirtualCenter 2.5 (Windows) |
| シーメンス |
| RUGGEDCOM WIN5100 ソフトウェア v4.4 未満のすべてのバージョン |
| RUGGEDCOM WIN5200 ソフトウェア v4.4 未満のすべてのバージョン |
| RUGGEDCOM WIN7000 ソフトウェア v4.4 未満のすべてのバージョン |
| RUGGEDCOM WIN7200 ソフトウェア v4.4 未満のすべてのバージョン |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2019年07月10日] 参考情報:ICS-CERT ADVISORY (ICSMA-18-058-02) を追加 |
July 10, 2019, 4:30 p.m. |
| 0 | [2011年10月04日] 掲載 [2011年11月17日] ベンダ情報:アップル (HT5045) を追加 [2011年11月18日] ベンダ情報:日立 (HS11-024) を追加 [2011年12月08日] 影響を受けるシステム:マイクロソフト (2588513) の情報を追加 影響を受けるシステム:Mozilla Foundation (TLS 暗号化通信に対する攻撃の Firefox への影響) の情報を追加 影響を受けるシステム:Google (chrome-stable-release) の情報を追加 影響を受けるシステム:Opera Software ASA (the-beast-ssl-tls-issue) の情報を追加 ベンダ情報:Google (chrome-stable-release) を追加 ベンダ情報:Opera Software ASA (the-beast-ssl-tls-issue) を追加 [2011年12月12日] ベンダ情報:Opera Software ASA (windows/1151) を追加 ベンダ情報:Opera Software ASA (unix/1151) を追加 ベンダ情報:Opera Software ASA (mac/1151) を追加 [2011年12月13日] ベンダ情報:Opera Software ASA (the-beast-ssl-tls-issue) を削除 ベンダ情報:Opera Software ASA (windows/1151) を削除 ベンダ情報:Opera Software ASA (unix/1151) を削除 ベンダ情報:Opera Software ASA (mac/1151) を削除 ベンダ情報:Opera Software ASA (windows/1160) を追加 ベンダ情報:Opera Software ASA (unix/1160) を追加 ベンダ情報:Opera Software ASA (mac/1160) を追加 [2011年12月26日] ベンダ情報:Mozilla Foundation (attack-against-tls-protected-communications) を追加 ベンダ情報:マイクロソフト (2588513) を追加 ベンダ情報:アップル (HT4999) を追加 ベンダ情報:アップル (HT5001) を追加 ベンダ情報:IBM (Security alerts) を追加 ベンダ情報:オラクル (javacpuoct2011-443431) を追加 ベンダ情報:レッドハット (RHSA-2011:1384) を追加 ベンダ情報:Novell (Bug 719047) を追加 [2012年01月12日] 影響を受けるシステム:マイクロソフト (MS12-006) の情報を更新 ベンダ情報:マイクロソフト (MS12-006) を追加 [2012年01月13日] 影響を受けるシステム:オラクル (cve_2011_3389_chosen_plaintext) の情報を追加 ベンダ情報:オラクル (cve_2011_3389_chosen_plaintext) を追加 ベンダ情報:富士通 (TA12-010A) を追加 [2012年01月23日] 影響を受けるシステム:オラクル (cve_2011_3389_chosen_plaintext1) の情報を追加 ベンダ情報:オラクル (cve_2011_3389_chosen_plaintext1) を追加 [2012年02月01日] 影響を受けるシステム:日立 (HS11-024) の情報を追加 [2012年03月01日] 影響を受けるシステム:オラクル (CVE-2011-3389 Vulnerability in NSS library affects Oracle iPlanet Web Proxy Server) の情報を追加 ベンダ情報:オラクル (CVE-2011-3389 Vulnerability in NSS library affects Oracle iPlanet Web Proxy Server) を追加 [2012年03月28日] 影響を受けるシステム:日本電気 (NV12-005) の情報を追加 ベンダ情報:日本電気 (NV12-005) を追加 [2012年04月18日] 影響を受けるシステム:日本電気 (NV12-005) の情報を更新 [2012年05月14日] ベンダ情報:アップル (HT5281) を追加 [2012年08月01日] 影響を受けるシステム:アップル (HT5416) の情報を追加 ベンダ情報:アップル (HT5416) を追加 ベンダ情報:アップル (APPLE-SA-2012-07-25-2 Xcode 4.4) を追加 [2012年08月09日] ベンダ情報:オラクル (Multiple vulnerabilities in Python) を追加 [2012年10月05日] 影響を受けるシステム:アップル (HT5501) の情報を追加 ベンダ情報:アップル (HT5501) を追加 [2012年10月23日] ベンダ情報:オラクル (Multiple vulnerabilities in fetchmail) を追加 [2012年12月17日] 影響を受けるシステム:VMware (VMSA-2012-0003.1) の情報を追加 ベンダ情報:VMware (VMSA-2012-0003.1) を追加 [2013年09月05日] 影響を受けるシステム:日立 (HS13-018) の情報を追加 ベンダ情報:日立 (HS13-018) を追加 [2013年10月09日] 影響を受けるシステム:日本電気 (NV12-005) の情報を追加 ベンダ情報:日本電気 (NV12-005) の情報を更新 [2013年10月23日] 影響を受けるシステム:オラクル (Oracle Critical Patch Update Advisory - October 2013) の情報を追加 ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - October 2013) を追加 ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - October 2013 Risk Matrices) を追加 ベンダ情報:オラクル (October 2013 Critical Patch Update Released) を追加 [2013年11月07日] 影響を受けるシステム:アップルの情報を更新 ベンダ情報:アップル (HT6011) を追加 ベンダ情報:アップル (APPLE-SA-2013-10-22-3) を追加 ベンダ情報:アップル (APPLE-SA-2012-09-19-2) を追加 ベンダ情報:アップル (APPLE-SA-2012-05-09-1) を追加 ベンダ情報:アップル (APPLE-SA-2012-02-01-1) を追加 ベンダ情報:アップル (APPLE-SA-2011-10-12-2) を追加 ベンダ情報:アップル (APPLE-SA-2011-10-12-1) を追加 参考情報:JVN (JVNVU#95174988) を追加 [2013年12月05日] 影響を受けるシステム:ヒューレット・パッカード (HPSBMU02900 および HPSBMU02742 SSRT100740) の情報を追加 ベンダ情報:アップル (HT5130) を追加 ベンダ情報:ヒューレット・パッカード (HPSBMU02900) を追加 ベンダ情報:ヒューレット・パッカード (HPSBMU02742 SSRT100740) を追加 ベンダ情報:ヒューレット・パッカード (HPSBUX02730 SSRT100710) を追加 ベンダ情報:レッドハット (Bug 737506) を追加 ベンダ情報:レッドハット (RHSA-2012:0006) を追加 ベンダ情報:レッドハット (RHSA-2013:1455) を追加 ベンダ情報:Novell (SUSE-SU-2012:0122) を追加 ベンダ情報:Novell (SUSE-SU-2012:0114) を追加 ベンダ情報:Novell (openSUSE-SU-2012:0030) を追加 ベンダ情報:Novell (openSUSE-SU-2012:0063) を追加 参考情報:JVN (JVNTA12-010A) を追加 参考情報:US-CERT Technical Cyber Security Alert (TA12-010A) を追加 [2014年02月28日] 影響を受けるシステム:アップル (HT6150) の公開に伴い内容を更新 ベンダ情報:アップル (APPLE-SA-2014-02-25-1) を追加 ベンダ情報:アップル (HT6150) を追加 参考情報:JVN (JVNVU#95868425) を追加 [2014年04月10日] 影響を受けるシステム:内容を更新 参考情報:ICS-CERT ADVISORY (ICSA-14-098-03) を追加 [2014年05月08日] 影響を受けるシステム:日立 (HS14-011) の情報を追加 ベンダ情報:日立 (HS14-011) を追加 ベンダ情報:日立 (HS14-010) を追加 [2015年01月22日] 影響を受けるシステム:ベンダ情報の追加に伴い内容を更新 ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - January 2015) を追加 ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices) を追加 ベンダ情報:オラクル (January 2015 Critical Patch Update Released) を追加 [2015年03月18日] 影響を受けるシステム:内容を更新 [2015年04月22日] 影響を受けるシステム:内容を更新 [2015年07月29日] 影響を受けるシステム:ベンダ情報の追加に伴い内容を更新 ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2015) を追加 ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - July 2015 Risk Matrices) を追加 ベンダ情報:オラクル (July 2015 Critical Patch Update Released) を追加 [2015年12月11日] 影響を受けるシステム:ベンダ情報の追加に伴い内容を更新 ベンダ情報:日立 (HS15-031) を追加 [2016年01月27日] 影響を受けるシステム:ベンダ情報の更新に伴い内容を更新 |
Feb. 17, 2018, 10:37 a.m. |
| 2 | [2019年07月16日] 参考情報:ICS-CERT ADVISORY (ICSA-19-192-04) を追加 |
July 16, 2019, 11:05 a.m. |