製品・ソフトウェアに関する情報

JVN脆弱性詳細

RSA key reconstruction vulnerability

タイトル	RSA key reconstruction vulnerability
概要	RSA のいくつかの実装に対して秘密鍵を解読できる可能性のある手法が報告されています。この手法は OpenSSL に対して適用され、有効であることがあわせて報告されています。 RSA のいくつかの実装に対して秘密鍵を解読できる可能性のある手法が報告されています。 SSL や TLS プロトコルなどを実装したオープンソースのライブラリとして広く利用されている OpenSSL に対してこの手法が適用され、有効であることがあわせて報告されています。ベンダーが提供する Web サーバや VPN その他の製品で問題のある OpenSSL のバージョンを使用している場合にも、影響を受ける可能性があります。
想定される影響	第三者によって、RSA アルゴリズムで暗号化されたメッセージを解読される可能性があります。
対策	開発元の提供する情報を元にアップデートして下さい。
公表日	2007年8月16日0:00
登録日	2007年8月28日16:31
最終更新日	2010年5月14日18:37

CVSS2.0 : 注意
スコア	1.2
ベクター	AV:L/AC:H/Au:N/C:P/I:N/A:N

影響を受けるシステム

サン・マイクロシステムズ

OpenSolaris

Sun Solaris 10 (sparc)

Sun Solaris 10 (x86)

レッドハット

Red Hat Enterprise Linux 2.1 (as)

Red Hat Enterprise Linux 2.1 (es)

Red Hat Enterprise Linux 2.1 (ws)

Red Hat Enterprise Linux 3 (as)

Red Hat Enterprise Linux 3 (es)

Red Hat Enterprise Linux 3 (ws)

Red Hat Enterprise Linux 4 (as)

Red Hat Enterprise Linux 4 (es)

Red Hat Enterprise Linux 4 (ws)

Red Hat Enterprise Linux 5 (server)

Red Hat Enterprise Linux Desktop 3.0

Red Hat Enterprise Linux Desktop 4.0

Red Hat Enterprise Linux Desktop 5.0 (client)

Red Hat Linux Advanced Workstation 2.1

RHEL Desktop Workstation 5 (client)

OpenSSL Project

OpenSSL 0.9.8e およびそれ以前

ターボリナックス

Turbolinux Appliance Server 1.0 (hosting)

Turbolinux Appliance Server 1.0 (workgroup)

Turbolinux Appliance Server 2.0

Turbolinux FUJI

Turbolinux Multimedia

Turbolinux Personal

Turbolinux Server 10

Turbolinux Server 10 (x64)

Turbolinux Server 11

Turbolinux Server 11 (x64)

Turbolinux Server 8

wizpy

サイバートラスト株式会社

Asianux Server 2.0

Asianux Server 2.1

Asianux Server 3 (x86)

Asianux Server 3 (x86-64)

Asianux Server 3.0

Asianux Server 3.0 (x86-64)

Asianux Server 4.0

Asianux Server 4.0 (x86-64)

日本電気

IP8800/S,/R S2400, S3600 (AX2400S, AX3600S)

IP8800/S,/R S6300, S6700 (AX6300S, AX6700S)

IP8800/S,/R SS1200 (AX1200S)

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2007-3108	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3108
National Vulnerability Database (NVD)
2	CVE-2007-3108	http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-3108

ベンダー情報

No	名前	URL
Asianux Technical Support Network
1	openssl-0.9.8b-8.3.2	https://tsn.miraclelinux.com/tsn_local/index.php?m=errata&a=detail&eid=42
MIRACLE LINUX アップデート情報
2	openssl (V2.x/V3.0)	http://www.miraclelinux.com/support/update/list.php?errata_id=1149
3	openssl (V4.0)	http://www.miraclelinux.com/support/update/list.php?errata_id=1189
NEC製品セキュリティ情報
4	NV08-009	http://www.nec.co.jp/security-info/secinfo/nv08-009.html
OpenSSL
5	patch-CVE-2007-3108	http://openssl.org/news/patch-CVE-2007-3108.txt
Red Hat Security Advisory
6	RHSA-2007:0813	https://rhn.redhat.com/errata/RHSA-2007-0813.html
7	RHSA-2007:0964	https://rhn.redhat.com/errata/RHSA-2007-0964.html
8	RHSA-2007:1003	https://rhn.redhat.com/errata/RHSA-2007-1003.html
Sun
9	cve_2007_3108	http://blogs.sun.com/security/entry/cve_2007_3108
Sun Alert Notification
10	141525	http://sunsolve.sun.com/search/document.do?assetkey=1-21-141525-09-1
11	143140	http://sunsolve.sun.com/search/document.do?assetkey=1-21-143140-03-1
Turbolinux Security Advisory (英語)
12	TLSA-2007-52	http://www.turbolinux.com/security/2007/TLSA-2007-52.txt
レッドハットセキュリティーアップデート
13	RHSA-2007:0813	http://www.jp.redhat.com/support/errata/RHSA/RHSA-2007-0813J.html
14	RHSA-2007:0964	http://www.jp.redhat.com/support/errata/RHSA/RHSA-2007-0964J.html
15	RHSA-2007:1003	http://www.jp.redhat.com/support/errata/RHSA/RHSA-2007-1003J.html
製品セキュリティ情報
16	TLSA-2007-52	http://www.turbolinux.co.jp/security/2007/TLSA-2007-52j.txt

その他

No	名前	URL
FrSIRT Advisories
1	FrSIRT/ADV-2007-2759	http://www.frsirt.com/english/advisories/2007/2759
JPCERT REPORT
2	wr073001	http://www.jpcert.or.jp/wr/2007/wr073001.html#4
JVN
3	JVNVU#724968	http://jvn.jp/cert/JVNVU%23724968/index.html
Secunia Advisory
4	SA26411	http://secunia.com/advisories/26411/
SecurityFocus
5	25163	http://www.securityfocus.com/bid/25163
US-CERT Vulnerability Note
6	VU#724968	http://www.kb.cert.org/vuls/id/724968

変更履歴

No	変更内容	変更日
0	[2007年08月28日] 掲載 [2007年10月22日] 影響を受けるシステム：レッドハット (RHSA-2007:0964) の情報追加ベンダ情報: レッドハット (RHSA-2007:0964) 追加 [2007年11月01日] 影響を受けるシステム：ミラクル・リナックス (openssl (V2.x/V3.0)) の情報追加影響を受けるシステム：レッドハット (RHSA-2007:0813) の情報追加ベンダ情報: ミラクル・リナックス (openssl (V2.x/V3.0)) 追加ベンダ情報：レッドハット（RHSA-2007:0813）を追加 [2007年12月03日] 影響を受けるシステム：ミラクル・リナックス (openssl-0.9.8b-8.3.2) の情報追加影響を受けるシステム：レッドハット (RHSA-2007:1003) の情報追加影響を受けるシステム：ターボリナックス (TLSA-2007-52) の情報追加ベンダ情報: ミラクル・リナックス (openssl-0.9.8b-8.3.2) 追加ベンダ情報：レッドハット（RHSA-2007:1003）追加ベンダ情報：ターボリナックス (TLSA-2007-52) 追加 [2007年12月19日] 影響を受けるシステム：ミラクル・リナックス (openssl (V4.0)) の情報追加ベンダ情報: ミラクル・リナックス (openssl (V4.0)) 追加 [2008年09月03日] 影響を受けるシステム：日本電気 (NV08-009) の情報追加ベンダ情報: 日本電気 (NV08-009) 追加 [2010年05月14日] 影響を受けるシステム：サン・マイクロシステムズ (cve_2007_3108) の情報を追加影響を受けるシステム：サン・マイクロシステムズ (141525) の情報を追加影響を受けるシステム：サン・マイクロシステムズ (143140) の情報を追加ベンダ情報：サン・マイクロシステムズ (cve_2007_3108) を追加ベンダ情報：サン・マイクロシステムズ (141525) を追加ベンダ情報：サン・マイクロシステムズ (143140) を追加	2018年2月17日10:37

NVD脆弱性情報

CVE-2007-3108

概要	The BN_from_montgomery function in crypto/bn/bn_mont.c in OpenSSL 0.9.8e and earlier does not properly perform Montgomery multiplication, which might allow local users to conduct a side-channel attack and retrieve RSA private keys.
公表日	2007年8月8日10:17
登録日	2021年1月29日14:14
最終更新日	2018年10月17日1:47

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:openssl:openssl::::::::			0.9.8e

関連情報、対策とツール

No	URL	refsource	タグ
1	http://cvs.openssl.org/chngview?cn=16275	CONFIRM
2	http://lists.vmware.com/pipermail/security-announce/2008/000002.html	MLIST
3	http://openssl.org/news/patch-CVE-2007-3108.txt	CONFIRM
4	http://secunia.com/advisories/26411	SECUNIA
5	http://secunia.com/advisories/26893	SECUNIA
6	http://secunia.com/advisories/27021	SECUNIA
7	http://secunia.com/advisories/27078	SECUNIA
8	http://secunia.com/advisories/27097	SECUNIA
9	http://secunia.com/advisories/27205	SECUNIA
10	http://secunia.com/advisories/27330	SECUNIA
11	http://secunia.com/advisories/27770	SECUNIA
12	http://secunia.com/advisories/27870	SECUNIA
13	http://secunia.com/advisories/28368	SECUNIA
14	http://secunia.com/advisories/30161	SECUNIA
15	http://secunia.com/advisories/30220	SECUNIA
16	http://secunia.com/advisories/31467	SECUNIA
17	http://secunia.com/advisories/31489	SECUNIA
18	http://secunia.com/advisories/31531	SECUNIA
19	http://security.gentoo.org/glsa/glsa-200710-06.xml	GENTOO
20	http://support.attachmate.com/techdocs/2374.html	CONFIRM
21	http://support.avaya.com/elmodocs2/security/ASA-2007-485.htm	CONFIRM
22	http://www.bluecoat.com/support/securityadvisories/advisory_openssl_rsa_key_reconstruction_vulnerability	CONFIRM
23	http://www.debian.org/security/2008/dsa-1571	DEBIAN
24	http://www.gentoo.org/security/en/glsa/glsa-200805-07.xml	GENTOO
25	http://www.kb.cert.org/vuls/id/724968	CERT-VN	US Government Resource
26	http://www.kb.cert.org/vuls/id/RGII-74KLP3	CONFIRM
27	http://www.mandriva.com/security/advisories?name=MDKSA-2007:193	MANDRIVA
28	http://www.redhat.com/support/errata/RHSA-2007-0813.html	REDHAT
29	http://www.redhat.com/support/errata/RHSA-2007-0964.html	REDHAT
30	http://www.redhat.com/support/errata/RHSA-2007-1003.html	REDHAT
31	http://www.securityfocus.com/archive/1/476341/100/0/threaded	BUGTRAQ
32	http://www.securityfocus.com/archive/1/485936/100/0/threaded	BUGTRAQ
33	http://www.securityfocus.com/archive/1/486859/100/0/threaded	BUGTRAQ
34	http://www.securityfocus.com/bid/25163	BID	Patch
35	http://www.vmware.com/security/advisories/VMSA-2008-0001.html	CONFIRM
36	http://www.vmware.com/security/advisories/VMSA-2008-0013.html	CONFIRM
37	http://www.vupen.com/english/advisories/2007/2759	VUPEN
38	http://www.vupen.com/english/advisories/2007/4010	VUPEN
39	http://www.vupen.com/english/advisories/2008/0064	VUPEN
40	http://www.vupen.com/english/advisories/2008/2361	VUPEN
41	http://www.vupen.com/english/advisories/2008/2362	VUPEN
42	http://www.vupen.com/english/advisories/2008/2396	VUPEN
43	https://issues.rpath.com/browse/RPL-1613	CONFIRM
44	https://issues.rpath.com/browse/RPL-1633	CONFIRM
45	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A9984	OVAL
46	https://usn.ubuntu.com/522-1/	UBUNTU

共通脆弱性一覧