KEMP社製品 CVE-2015-1793 セキュリティ情報

2015/07/21

KEMP Technologies社からセキュリティ情報が発表されました。
アナウンスされたサイトは以下のURLです。

https://support.kemptechnologies.com/hc/en-us/articles/205524505-Alternative-chains-certificate-forgery-CVE-2015-1793

以下は、文面の要訳です。

最近、OpenSSLで電子鍵証明書の安全性についてのバグ(CVE-2015-1793)が発表されました。
これはX509_verify_certが、代替での証明書チェーンの認証において、CA局の値を示すX.509 basicConstraintsの処理を正しく行わないことで、CA局の役割を偽り、正しいリーフ証明書を介した証明書の検出をきっかけに、遠隔からの攻撃を許してしまうものです。
なお、X509_verify_certは、OpenSSL 1.0.1n、1.0.1o、1.0.2b、1.0.2cにあるcrypto/x509/x509_vfy.cの機能です。
KEMP社のLoadMasterは、問題となるOpenSSLバージョンをシステム内で動作することは無く、このバクの影響はありません。

追加の情報は、以下のサイトを参照してください。
https://www.openssl.org/news/secadv_20150709.txt
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1793