ASN.1 とは、データの構造を定義する言語のひとつであり、ISO (国際 標準化機構) と ITU-T (国際電気通信連合 電気通信標準化部門) で標 準化されています。ASN.1 は SNMP、X.400、Kerberos などのプロトコ ルで使用されており、多くのソフトウェアで基盤となる技術となってい ます。 ここ数年、複数のソフトウェアで ASN.1 の処理に関して脆弱性が報告 されています。 ASN.1 のデータの処理では、定義されたデータ構造の各フィールドに対 する適切なチェックや、入れ子になったデータ構造を適切に処理する必 要があります。これらの処理の難しさが ASN.1 に関連する脆弱性がし ばしば報告される一因となっています。
参考文書(日本語)
-
マイクロソフト セキュリティ情報
ASN .1 の脆弱性により、コードが実行される (828028) (MS04-007)
http://www.microsoft.com/japan/technet/security/Bulletin/MS04-007.mspx
-
Japan Vulnerability Notes JVNVU#754281
RSA BSAFE Cert-C および Crypto-C にサービス運用妨害 (DoS) の脆弱性
http://jvn.jp/cert/JVNVU%23754281/
参考文書(英語)
-
ITU-T Home:
ASN.1 Project
http://www.itu.int/ITU-T/asn1/index.html
-
ISO/IEC 8824-1:2002
Abstract Syntax Notation One (ASN.1)
http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=35684&ICS1=35&ICS2=100&ICS3=60
-
OpenSSL Security Advisory [30 September 2003]
Vulnerabilities in ASN.1 parsing
http://www.openssl.org/news/secadv_20030930.txt
Weekly Report 2007-07-04号 に掲載