NVD脆弱性詳細

CVE-2009-1378

概要	Multiple memory leaks in the dtls1_process_out_of_seq_message function in ssl/d1_both.c in OpenSSL 0.9.8k and earlier 0.9.8 versions allow remote attackers to cause a denial of service (memory consumption) via DTLS records that (1) are duplicates or (2) have sequence numbers much greater than current sequence numbers, aka "DTLS fragment handling memory leak."
概要	Múltiples fugas de memoria en la función dtls1_process_out_of_seq_message en ssl/d1_both.c en OpenSSL v0.9.8k y anteriores permite a atacantes remotos producir una denegación de servicio (consumo de memoria) a través de registros DTLS que (1) son duplicados o (2) tienen una secuencia de números mucho mayor que la actual secuencia de números, conocido también como "fuga de memoria en el manejo de fragmentos DTLS".
公表日	2009年5月20日4:30
登録日	2021年1月29日13:17
最終更新日	2026年4月23日9:35

CVSS2.0 : MEDIUM
スコア	5.0
ベクター	AV:N/AC:L/Au:N/C:N/I:N/A:P
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃前の認証要否(Au)	不要
機密性への影響(C)	なし
完全性への影響(I)	なし
可用性への影響(A)	低
全ての特権を取得	いいえ
ユーザー権限を取得	いいえ
その他の権限を取得	いいえ
ユーザー操作が必要	いいえ

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:openssl:openssl::::::::			0.9.8	0.9.8m
cpe:2.3:o:canonical:ubuntu_linux:6.06:::::::*
cpe:2.3:o:canonical:ubuntu_linux:8.04::::-:::
cpe:2.3:o:canonical:ubuntu_linux:8.10:::::::*
cpe:2.3:o:canonical:ubuntu_linux:9.04:::::::*

関連情報、対策とツール

No	URL	refsource
1	ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2009-009.txt.asc	secalert@redhat.com
2	http://cvs.openssl.org/chngview?cn=18188	secalert@redhat.com
3	http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02029444	secalert@redhat.com
4	http://lists.opensuse.org/opensuse-security-announce/2009-06/msg00003.html	secalert@redhat.com
5	http://lists.vmware.com/pipermail/security-announce/2010/000082.html	secalert@redhat.com
6	http://marc.info/?l=openssl-dev&m=124247679213944&w=2	secalert@redhat.com
7	http://marc.info/?l=openssl-dev&m=124263491424212&w=2	secalert@redhat.com
8	http://rt.openssl.org/Ticket/Display.html?id=1931&user=guest&pass=guest	secalert@redhat.com
9	http://secunia.com/advisories/35128	secalert@redhat.com
10	http://secunia.com/advisories/35416	secalert@redhat.com
11	http://secunia.com/advisories/35461	secalert@redhat.com
12	http://secunia.com/advisories/35571	secalert@redhat.com
13	http://secunia.com/advisories/35729	secalert@redhat.com
14	http://secunia.com/advisories/36533	secalert@redhat.com
15	http://secunia.com/advisories/37003	secalert@redhat.com
16	http://secunia.com/advisories/38761	secalert@redhat.com
17	http://secunia.com/advisories/38794	secalert@redhat.com
18	http://secunia.com/advisories/38834	secalert@redhat.com
19	http://secunia.com/advisories/42724	secalert@redhat.com
20	http://secunia.com/advisories/42733	secalert@redhat.com
21	http://security.gentoo.org/glsa/glsa-200912-01.xml	secalert@redhat.com
22	http://slackware.com/security/viewer.php?l=slackware-security&y=2010&m=slackware-security.663049	secalert@redhat.com
23	http://sourceforge.net/mailarchive/message.php?msg_name=4AD43807.7080105%40users.sourceforge.net	secalert@redhat.com
24	http://voodoo-circle.sourceforge.net/sa/sa-20091012-01.html	secalert@redhat.com
25	http://www.mandriva.com/security/advisories?name=MDVSA-2009:120	secalert@redhat.com
26	http://www.openwall.com/lists/oss-security/2009/05/18/1	secalert@redhat.com
27	http://www.redhat.com/support/errata/RHSA-2009-1335.html	secalert@redhat.com
28	http://www.securityfocus.com/bid/35001	secalert@redhat.com
29	http://www.securitytracker.com/id?1022241	secalert@redhat.com
30	http://www.ubuntu.com/usn/USN-792-1	secalert@redhat.com
31	http://www.vupen.com/english/advisories/2009/1377	secalert@redhat.com
32	http://www.vupen.com/english/advisories/2010/0528	secalert@redhat.com
33	https://kb.bluecoat.com/index?page=content&id=SA50	secalert@redhat.com
34	https://launchpad.net/bugs/cve/2009-1378	secalert@redhat.com
35	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A11309	secalert@redhat.com
36	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A7229	secalert@redhat.com
37	https://www.exploit-db.com/exploits/8720	secalert@redhat.com
38	ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2009-009.txt.asc	af854a3a-2127-422b-91ae-364da2661108
39	http://cvs.openssl.org/chngview?cn=18188	af854a3a-2127-422b-91ae-364da2661108
40	http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02029444	af854a3a-2127-422b-91ae-364da2661108
41	http://lists.opensuse.org/opensuse-security-announce/2009-06/msg00003.html	af854a3a-2127-422b-91ae-364da2661108
42	http://lists.vmware.com/pipermail/security-announce/2010/000082.html	af854a3a-2127-422b-91ae-364da2661108
43	http://marc.info/?l=openssl-dev&m=124247679213944&w=2	af854a3a-2127-422b-91ae-364da2661108
44	http://marc.info/?l=openssl-dev&m=124263491424212&w=2	af854a3a-2127-422b-91ae-364da2661108
45	http://rt.openssl.org/Ticket/Display.html?id=1931&user=guest&pass=guest	af854a3a-2127-422b-91ae-364da2661108
46	http://secunia.com/advisories/35128	af854a3a-2127-422b-91ae-364da2661108
47	http://secunia.com/advisories/35416	af854a3a-2127-422b-91ae-364da2661108
48	http://secunia.com/advisories/35461	af854a3a-2127-422b-91ae-364da2661108
49	http://secunia.com/advisories/35571	af854a3a-2127-422b-91ae-364da2661108
50	http://secunia.com/advisories/35729	af854a3a-2127-422b-91ae-364da2661108
51	http://secunia.com/advisories/36533	af854a3a-2127-422b-91ae-364da2661108
52	http://secunia.com/advisories/37003	af854a3a-2127-422b-91ae-364da2661108
53	http://secunia.com/advisories/38761	af854a3a-2127-422b-91ae-364da2661108
54	http://secunia.com/advisories/38794	af854a3a-2127-422b-91ae-364da2661108
55	http://secunia.com/advisories/38834	af854a3a-2127-422b-91ae-364da2661108
56	http://secunia.com/advisories/42724	af854a3a-2127-422b-91ae-364da2661108
57	http://secunia.com/advisories/42733	af854a3a-2127-422b-91ae-364da2661108
58	http://security.gentoo.org/glsa/glsa-200912-01.xml	af854a3a-2127-422b-91ae-364da2661108
59	http://slackware.com/security/viewer.php?l=slackware-security&y=2010&m=slackware-security.663049	af854a3a-2127-422b-91ae-364da2661108
60	http://sourceforge.net/mailarchive/message.php?msg_name=4AD43807.7080105%40users.sourceforge.net	af854a3a-2127-422b-91ae-364da2661108
61	http://voodoo-circle.sourceforge.net/sa/sa-20091012-01.html	af854a3a-2127-422b-91ae-364da2661108
62	http://www.mandriva.com/security/advisories?name=MDVSA-2009:120	af854a3a-2127-422b-91ae-364da2661108
63	http://www.openwall.com/lists/oss-security/2009/05/18/1	af854a3a-2127-422b-91ae-364da2661108
64	http://www.redhat.com/support/errata/RHSA-2009-1335.html	af854a3a-2127-422b-91ae-364da2661108
65	http://www.securityfocus.com/bid/35001	af854a3a-2127-422b-91ae-364da2661108
66	http://www.securitytracker.com/id?1022241	af854a3a-2127-422b-91ae-364da2661108
67	http://www.ubuntu.com/usn/USN-792-1	af854a3a-2127-422b-91ae-364da2661108
68	http://www.vupen.com/english/advisories/2009/1377	af854a3a-2127-422b-91ae-364da2661108
69	http://www.vupen.com/english/advisories/2010/0528	af854a3a-2127-422b-91ae-364da2661108
70	https://kb.bluecoat.com/index?page=content&id=SA50	af854a3a-2127-422b-91ae-364da2661108
71	https://launchpad.net/bugs/cve/2009-1378	af854a3a-2127-422b-91ae-364da2661108
72	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A11309	af854a3a-2127-422b-91ae-364da2661108
73	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A7229	af854a3a-2127-422b-91ae-364da2661108
74	https://www.exploit-db.com/exploits/8720	af854a3a-2127-422b-91ae-364da2661108

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-401	有効期限後のメモリの解放の欠如	https://cwe.mitre.org/data/definitions/401.html

JVN脆弱性情報

OpenSSL の dtls1_process_out_of_seq_message 関数におけるサービス運用妨害 (DoS) の脆弱性

タイトル	OpenSSL の dtls1_process_out_of_seq_message 関数におけるサービス運用妨害 (DoS) の脆弱性
概要	OpenSSL の dtls1_process_out_of_seq_message 関数には、DTLS レコードの処理に不備があるため、サービス運用妨害 (DoS) 状態となる脆弱性が存在します。
想定される影響	重複した、または現在のシーケンスナンバーよりはるかに大きいシーケンスナンバーを持つ DTLS レコードにより、サービス運用妨害 (DoS) 状態にされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2009年5月19日0:00
登録日	2009年8月12日10:56
最終更新日	2010年3月12日14:44

影響を受けるシステム

レッドハット

Red Hat Enterprise Linux 5 (server)

Red Hat Enterprise Linux Desktop 5.0 (client)

RHEL Desktop Workstation 5 (client)

IBM

IBM AIX 5.2

IBM AIX 5.3

IBM AIX 6.1

OpenSSL Project

OpenSSL 0.9.8m 未満

サイバートラスト株式会社

Asianux Server 3 (x86)

Asianux Server 3 (x86-64)

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-1378	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1378
National Vulnerability Database (NVD)
2	CVE-2009-1378	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-1378

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-399	https://jvndb.jvn.jp/ja/cwe/CWE-399.html

ベンダー情報

No	名前	URL
Asianux Technical Support Network
1	openssl-0.9.8e-12AXS3	https://tsn.miraclelinux.com/tsn_local/index.php?m=errata&a=detail&eid=745
IBM
2	4712	http://www14.software.ibm.com/webapp/set2/subscriptions/pqvcmjd?mode=18&ID=4712
3	4731	http://www14.software.ibm.com/webapp/set2/subscriptions/pqvcmjd?mode=18&ID=4731
OpenSSL
4	18188	http://cvs.openssl.org/chngview?cn=18188
5	changelog	http://www.openssl.org/news/changelog.html
Red Hat Security Advisory
6	RHSA-2009:1335	https://rhn.redhat.com/errata/RHSA-2009-1335.html
レッドハットセキュリティーアップデート
7	RHSA-2009:1335	https://www.jp.redhat.com/support/errata/RHSA/RHSA-2009-1335J.html

その他

No	名前	URL
Secunia Advisory
1	SA35128	http://secunia.com/advisories/35128
SecurityFocus
2	35001	http://www.securityfocus.com/bid/35001
SecurityTracker
3	1022241	http://www.securitytracker.com/id?1022241
VUPEN Security
4	VUPEN/ADV-2009-1377	http://www.vupen.com/english/advisories/2009/1377

変更履歴

No	変更内容	変更日
0	[2009年08月12日] 掲載 [2009年09月29日] 影響を受けるシステム：ミラクル・リナックス (openssl-0.9.8e-12AXS3) の情報を追加影響を受けるシステム：レッドハット (RHSA-2009:1335) の情報を追加ベンダ情報：ミラクル・リナックス (openssl-0.9.8e-12AXS3) を追加ベンダ情報：レッドハット (RHSA-2009:1335) を追加 [2010年03月12日] 影響を受けるシステム：OpenSSL Project (changelog) の情報を更新ベンダ情報：OpenSSL Project (changelog) を追加	2018年2月17日10:37