NVD脆弱性詳細

CVE-2023-0216

概要	An invalid pointer dereference on read can be triggered when an application tries to load malformed PKCS7 data with the d2i_PKCS7(), d2i_PKCS7_bio() or d2i_PKCS7_fp() functions. The result of the dereference is an application crash which could lead to a denial of service attack. The TLS implementation in OpenSSL does not call this function however third party applications might call these functions on untrusted data.
公表日	2023年2月9日5:15
登録日	2023年2月9日10:00
最終更新日	2024年11月21日16:36

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:openssl:openssl::::::::		3.0.0	3.0.7

構成2		以上	以下	より上	未満
cpe:2.3:a:stormshield:stormshield_management_center::::::::					3.3.3

関連情報、対策とツール

No	URL	タグ
1	https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=934a04f0e775309cadbef0aa6b9692e1b12a76c6	Patch Vendor Advisory
2	https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=934a04f0e775309cadbef0aa6b9692e1b12a76c6	Patch Vendor Advisory
3	https://security.gentoo.org/glsa/202402-08
4	https://security.gentoo.org/glsa/202402-08
5	https://www.openssl.org/news/secadv/20230207.txt	Vendor Advisory
6	https://www.openssl.org/news/secadv/20230207.txt	Vendor Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-476	NULL ポインタデリファレンス	https://cwe.mitre.org/data/definitions/476.html

JVN脆弱性情報

OpenSSL における無効なポインタデリファレンスを誘発される脆弱性

タイトル	OpenSSL における無効なポインタデリファレンスを誘発される脆弱性
概要	OpenSSL には、アプリケーションが d2i_PKCS7()、d2i_PKCS7_bio()、または d2i_PKCS7_fp() 関数を使用して不正な形式の PKCS7 データをロードする際、読み込み時、無効なポインタデリファレンスを誘発される脆弱性が存在します。
想定される影響	攻撃者により、アプリケーションがサービス運用妨害 (クラッシュ) 状態にされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2023年2月7日0:00
登録日	2023年2月28日16:12
最終更新日	2025年9月22日11:33

影響を受けるシステム

OpenSSL Project

OpenSSL

日本電気

ActSecure ポータル

CONNEXIVE PF V7

ESMPRO/ServerAgent 4.4.22-1 以降

iStorage T280 Version 1.3.0.0-D00

iStorage T280 Version 1.5.0.0-A00

iStorage T280 Version 1.5.0.2-A00

iStorage V100

iStorage V10e

iStorage V300

IX ルータ Ver.10.2 以降

NEC AI Accelerator AI-BOX OS v2.1.10.0 およびそれ以前

NEC Enhanced Speech Analysis 1.4.0

NEC Multimedia OLAP for 映像分析サービス

NeoFace Monitor クラウド版 1.0.2

NeoFace Monitor クラウド版 1.1.1

SpoolServer/ReportFiling

vRAN

得選街・GCB

養殖魚サイズ測定自動化サービス

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2023-0216	https://www.cve.org/CVERecord?id=CVE-2023-0216
National Vulnerability Database (NVD)
2	CVE-2023-0216	https://nvd.nist.gov/vuln/detail/CVE-2023-0216

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-476	http://cwe.mitre.org/data/definitions/476.html

ベンダー情報

No	名前	URL
NEC製品セキュリティ情報
1	NV23-004	https://jpn.nec.com/security-info/secinfo/nv23-004.html
OpenSSL Security Advisory
2	OpenSSL Security Advisory [7th February 2023]	https://www.openssl.org/news/secadv/20230207.txt

その他

No	名前	URL
ICS-CERT ADVISORY
1	ICSA-23-320-08	https://www.cisa.gov/news-events/ics-advisories/icsa-23-320-08
2	ICSA-24-046-15	https://www.cisa.gov/news-events/ics-advisories/icsa-24-046-15
3	ICSA-25-065-01	https://www.cisa.gov/news-events/ics-advisories/icsa-25-065-01
JVN
4	JVNVU#91198149	https://jvn.jp/vu/JVNVU91198149/index.html
5	JVNVU#91213144	https://jvn.jp/vu/JVNVU91213144/
6	JVNVU#91482879	https://jvn.jp/vu/JVNVU91482879/index.html
7	JVNVU#92598492	https://jvn.jp/vu/JVNVU92598492/index.html

変更履歴

No	変更内容	変更日
10	[2025年03月10日] 参考情報：JVN (JVNVU#91482879) を追加参考情報：ICS-CERT ADVISORY (ICSA-25-065-01) を追加	2025年3月10日11:26
9	[2024年12月02日] 影響を受けるシステム：ベンダ情報 (NV23-004) の更新に伴い内容を更新	2024年12月2日12:33
8	[2024年11月01日] 影響を受けるシステム：ベンダ情報 (NV23-004) の更新に伴い内容を更新	2024年11月1日14:46
7	[2024年09月02日] 影響を受けるシステム：ベンダ情報 (NV23-004) の更新に伴い内容を更新	2024年9月2日16:25
6	[2024年02月20日] 参考情報：JVN (JVNVU#91198149) を追加参考情報：ICS-CERT ADVISORY (ICSA-24-046-15) を追加	2024年2月20日16:38
5	[2023年11月21日] 参考情報：JVN (JVNVU#92598492) を追加参考情報：ICS-CERT ADVISORY (ICSA-23-320-08) を追加	2023年11月20日17:47
4	[2023年09月05日] 影響を受けるシステム：ベンダ情報 (NV23-004) の更新に伴い内容を更新	2023年9月5日10:45
3	[2023年06月29日] 影響を受けるシステム：ベンダ情報 (NV23-004) の更新に伴い内容を更新	2023年6月29日10:27
1	[2023年02月28日] 掲載	2023年2月28日16:12
2	[2023年04月25日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：日本電気 (NV23-004) を追加	2023年4月25日15:44
11	[2025年09月22日] 影響を受けるシステム：ベンダ情報 (NV23-004) の更新に伴い内容を更新	2025年9月22日11:32