Vendor Status Note JVNCIAC-Q-304

OpenSSL に証明書が正しく検証されない脆弱性

概要

OpenSSL には証明書が正しく検証されない脆弱性があります。

影響を受けるシステム
 - OpenSSL バージョン 0.9.7j およびそれ以前
 - OpenSSL バージョン 0.9.8b およびそれ以前

想定される影響

Exponent が3の RSA 鍵で署名された PKCS #1 v1.5 署名を偽造される可能性があります。

ベンダ情報

ベンダリンク更新日
DebianDebian Security Advisory DSA-1173
openssl -- cryptographic weakness
Debian Security Advisory DSA-1174
openssl096 -- cryptographic weakness
OpenSSLOpenSSL Security Advisory [5th September 2006]
RSA Signature Forgery (CVE-2006-4339)
Red HatSecurity Advisory RHSA-2006:0661
Important: openssl security update
参考情報

  1. ISS X-Force Database: openssl-rsa-security-bypass(28755)
    OpenSSL RSA exponent 3 security bypass
JPCERT 緊急報告
JPCERT REPORTJPCERT-WR-2006-3501 ( 2006-09-13 )
CIAC BulletinQ-304 OpenSSL Security Update ( 2006-09-07 )
CVE2006-4339 [CVE+] XF28755
PGP署名JVNCIAC-Q-304.html.sig
登録日14:38 2006/09/15
更新日14:38 2006/09/15

Copyright(C) 2002-2009 Keio Univ. All rights reserved.