製品・ソフトウェアに関する情報

JVN脆弱性詳細

OpenSSL の PA-RISC CRYPTO_memcmp 関数におけるメッセージを偽造される脆弱性

タイトル	OpenSSL の PA-RISC CRYPTO_memcmp 関数におけるメッセージを偽造される脆弱性
概要	OpenSSL の PA-RISC CRYPTO_memcmp 関数は、各バイトの最下位ビットのみを比較するため、メッセージを偽造される脆弱性が存在します。
想定される影響	攻撃者により、メッセージを偽造される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2018年3月27日0:00
登録日	2018年5月9日14:06
最終更新日	2018年6月1日14:41

CVSS3.0 : 警告
スコア	5.9
ベクター	CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N

CVSS2.0 : 警告
スコア	4.3
ベクター	AV:N/AC:M/Au:N/C:N/I:P/A:N

影響を受けるシステム

OpenSSL Project

OpenSSL 1.1.0 から 1.1.0g

日本電気

NEC エッジゲートウェイすべてのバージョン

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2018-0733	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0733
National Vulnerability Database (NVD)
2	CVE-2018-0733	https://nvd.nist.gov/vuln/detail/CVE-2018-0733

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

ベンダー情報

No	名前	URL
NEC製品セキュリティ情報
1	NV18-010	https://jpn.nec.com/security-info/secinfo/nv18-010.html
OpenSSL Project
2	pariscid.pl: fix nasty typo in CRYPTO_memcmp.	https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=56d5a4bfcaf37fa420aef2bb881aa55e61cf5f2f
OpenSSL Security Advisory
3	Incorrect CRYPTO_memcmp on HP-UX PA-RISC (CVE-2018-0733)	https://www.openssl.org/news/secadv/20180327.txt

その他

No	名前	URL
JVN
1	JVNVU#93502675	http://jvn.jp/vu/JVNVU93502675/

変更履歴

No	変更内容	変更日
1	[2018年05月09日] 掲載	2018年5月9日14:06
2	[2018年06月01日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：日本電気(NV18-010) を追加	2018年6月1日14:32

NVD脆弱性情報

CVE-2018-0733

概要	Because of an implementation bug the PA-RISC CRYPTO_memcmp function is effectively reduced to only comparing the least significant bit of each byte. This allows an attacker to forge messages that would be considered as authenticated in an amount of tries lower than that guaranteed by the security claims of the scheme. The module can only be compiled by the HP-UX assembler, so that only HP-UX PA-RISC targets are affected. Fixed in OpenSSL 1.1.0h (Affected 1.1.0-1.1.0g).
公表日	2018年3月28日6:29
登録日	2021年3月1日18:38
最終更新日	2024年11月21日12:38

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:openssl:openssl::::::::		1.1.0	1.1.0g

関連情報、対策とツール

No	URL	タグ
1	http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html
2	http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html
3	http://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html
4	http://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html
5	http://www.securityfocus.com/bid/103517	Third Party Advisory VDB Entry
6	http://www.securityfocus.com/bid/103517	Third Party Advisory VDB Entry
7	http://www.securitytracker.com/id/1040576	Third Party Advisory VDB Entry
8	http://www.securitytracker.com/id/1040576	Third Party Advisory VDB Entry
9	https://git.openssl.org/gitweb/?p=openssl.git%3Ba=commitdiff%3Bh=56d5a4bfcaf37fa420aef2bb881aa55e61cf5f2f
10	https://git.openssl.org/gitweb/?p=openssl.git%3Ba=commitdiff%3Bh=56d5a4bfcaf37fa420aef2bb881aa55e61cf5f2f
11	https://security.gentoo.org/glsa/201811-21
12	https://security.gentoo.org/glsa/201811-21
13	https://security.netapp.com/advisory/ntap-20180330-0002/	Third Party Advisory
14	https://security.netapp.com/advisory/ntap-20180330-0002/	Third Party Advisory
15	https://www.openssl.org/news/secadv/20180327.txt	Vendor Advisory
16	https://www.openssl.org/news/secadv/20180327.txt	Vendor Advisory
17	https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
18	https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
19	https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html
20	https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html
21	https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html
22	https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html
23	https://www.tenable.com/security/tns-2018-04
24	https://www.tenable.com/security/tns-2018-04
25	https://www.tenable.com/security/tns-2018-06
26	https://www.tenable.com/security/tns-2018-06
27	https://www.tenable.com/security/tns-2018-07
28	https://www.tenable.com/security/tns-2018-07

共通脆弱性一覧