McAfee for Small Businesses

名前 TLS/SSL の脆弱性により、なりすましが行われる (977377) タイプ ロジックエラー 脆弱性の利用による影響 なりすまし ユーザの操作 ユーザの操作は不要 攻撃ベクトル 悪質なリモートのネットワークトラフィック 深刻度 低 CVE参考資料 CVE-2009-3555 ベンダーの対応状況 対応済み、修正プログラムは不適用 脆弱なシステム Windows 2000 SP4, Windows XP SP3, Windows XP X64 SP2, Windows 2003 SP2, Windows 2003 x64 SP2, Windows 2003 Itanium SP2, Windows Vista SP1, Windows 2008, Windows 2008 Itanium, Windows 2008 x64, Windows Vista SP2, Windows 2008 SP2, Windows 2008 Itanium SP2, Windows 2008 x64 SP2, まとめ TLS 1.0（以降）およびSSL 3.0（以降）の脆弱性により、中間者によるなりすまし攻撃が仕掛けられる 経過 説明 McAfee製品の緩和策と勧告 補足

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/21 RDN/Generic ... 05/21 RDN/Generic ... 05/21 RDN/Generic.... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7083  エンジン：5.4.00   ウイルス検索

説明

TOPに戻る

・TLS 1.0（以降）およびSSL 3.0（以降）の脆弱性により、中間者によるなりすまし攻撃が仕掛けられる可能性があります。Microsoft Internet Information Services (IIS) 7.0、Apache HTTP Server 2.2.14以前のmod_ssl、0.9.8lよりも前のOpenSSL、GnuTLS 2.8.5以前、Mozilla Network Security Services (NSS) 3.12.4以前をはじめとする製品で使われているTLSプロトコル、SSLプロトコルのバージョン3.0で、再ネゴシエーションのハンドシェイクが既存の接続と正しく関連づけられず、中間者によるなりすまし攻撃を仕掛ける攻撃者が、無許可のリクエストを送信して、データをHTTPSセッション、もしくはTLS、SSLで保護されている他のセッションに挿入できます。この脆弱性は3.0以前にも存在する可能性があり、リクエストは再ネゴシエーション後にサーバによってさかのぼって処理され、「プレーンテキストインジェクション」攻撃（別名、「Project Mogul」問題）に関係しています。マイクロソフトはTLS、SSLの再ネゴシエーションを無効化する暫定処置を適用するアップデートをリリースしていますが、現時点では、ホストにこのアップデートは見あたらないようです。

McAfee製品の緩和策と勧告	TOPに戻る
勧告 ・2010年02月10日現在、McAfeeはベンダーが提供した修正プログラムやアップデートを確認していません。マイクロソフトは現在、この脆弱性を調査中です。詳細は、http://www.microsoft.com/japan/technet/security/advisory/977377.mspxを参照してください。 McAfee製品の緩和策 McAfee Foundstone ・2月9日付けのFSL/MVMパッケージには、システムが危険にさらされているかどうかを見極めるための脆弱性チェックが組み込まれています。 シグネチャ： Vulnerability In TLS/SSL Could Allow Spoofing (977377) シグネチャID： 7891 リリース日： 2010/2/9

補足	TOPに戻る
マイクロソフトセキュリティアドバイザリ（977377）：TLS/SSLの脆弱性により、なりすましが行われる http://www.microsoft.com/japan/technet/security/advisory/977377.mspx