Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

TLSプロトコルおよびDTLSプロトコルにおける識別攻撃およびプレーンテキストリカバリ攻撃を誘発される脆弱性

掲載番号:NV14-002
脆弱性情報識別番号:CVE-2013-0169

概要

TLSプロトコルおよびDTLSプロトコルは、不正な形式のCBCパディングを処理している間、MACチェック要求に関するタイミングサイドチャネル攻撃について適切に配慮しないため、識別攻撃およびプレーンテキストリカバリ攻撃を誘発される脆弱性が存在します。
攻撃者により、細工されたパケットのタイミングデータの統計的分析を介して、識別攻撃、およびプレーンテキストリカバリ攻撃を誘発される可能性があります。

対象製品

CSVIEW

影響の有無

影響あり

対象となる製品のバージョン

CSVIEW/FAQナビ:全バージョン
CSVIEW/Webアンケート:全バージョン

※公開系、もしくは管理系にHTTPSを使用している場合のみ影響があります。

対処方法

[回避策]
HTTPSを停止してください。

[対策]
Apache httpd と OpenSSL をバージョンアップしてください。
バージョンアップ手順につきましては保守契約者様用の問い合わせ窓口までお問い合わせ下さい。

EnterpriseDirectoryServer

影響の有無

影響あり

対象となる製品のバージョン

  • Ver7.1
  • Ver7.0
  • Ver6.1
  • Ver6.0
  • EDS RDB連携システム

対処方法

[対策]
- Ver7.1、Ver7.0、Ver6.1
修正版をご用意しています。
修正版の詳細につきましては弊社営業にお問合せください。

- Ver6.0
Ver6.0の修正版提供につきましては弊社営業にお問合せください。

- EDS RDB連携システム
EDS RDB連携システムについては当該脆弱性が解消されたJava7
での動作評価を行い問題ないことを確認しております。
なお、Java8につきましては次期バージョンでの対応を検討中です。
Javaのアップデート手順については以下にお問い合わせ下さい。

directory@cced.jp.nec.com

EnterpriseIdentityManager

影響の有無

影響あり

※EnterpriseDirectoryServerを同梱するため影響があります。

対象となる製品のバージョン

  • EnterpriseDirectoryServer Ver7.1
  • EnterpriseDirectoryServer Ver7.0
  • EnterpriseDirectoryServer Ver6.1
  • EnterpriseDirectoryServer Ver6.0

対処方法

[対策]
- EnterpriseDirectoryServer Ver7.1、Ver7.0、Ver6.1
修正版をご用意しています。
修正版の詳細につきましては弊社営業にお問合せください。

- EnterpriseDirectoryServer Ver6.0
Ver6.0の修正版提供につきましては弊社営業にお問合せください。

InfoCage PCセキュリティ

影響の有無

影響あり

対象となる製品のバージョン

InfoCage PCセキュリティ Ver1.6未満

  • JRE 6 Update 39未満を同梱しています。

対処方法

[対策]
2013年10月にリリースされたInfoCage PCセキュリティ Ver1.6より、対応完了したJRE 6 Update45を同梱しています。

Java 7以降については、次期バージョン(2015年1月)での対応を予定しています。

iStorage NVシリーズ

影響の有無

影響あり

対象となる製品のバージョン

  • NV7500/NV5500/NV3500シリーズ
  • NV7400/NV5400/NV3400シリーズ

対処方法

[対策]
以下のURLでパッチを公開しています。

http://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010104104

パッチは保守契約を結んでいただいたお客様に限定して提供させていただいています。

SecureWare/PKIアプリケーション開発キット

影響の有無

影響あり

対象となる製品のバージョン

SecureWare/PKIアプリケーション開発キット V3.02

対処方法

[対策]
SecureWare/PKIアプリケーション開発キット V3.1で対応完了しています。
最新のSecureWare/PKIアプリケーション開発キットにバージョンアップしてください。
バージョンアップ手順につきましては保守契約者様用の問い合わせ窓口までお問い合わせ下さい。

WebOTX

影響の有無

影響あり

対象となる製品のバージョン

  • WebOTX Application Server Express V8.5
  • WebOTX Application Server Foundation V8.5
  • WebOTX Application Server Standard V8.5
  • WebOTX Application Server Enterprise V8.5
  • WebOTX Enterprise Service Bus V8.5
  • WebOTX Portal V8.4

製品に含まれるWebサーバ(Apache HTTP Server)において、SSL通信機能(HTTPS 通信)を利用していない場合には影響ありません。

対処方法

[対策]
次のバージョンのパッチモジュールで対応完了しています。

WebOTX V8.4に含まれるWebサーバ 2.2
https://www.support.nec.co.jp/View.aspx?id=9010102290

WebOTX V8.2/V8.3に含まれるWebサーバ 2.2
https://www.support.nec.co.jp/View.aspx?id=9010102287

WebOTX R6.x/V7.1/V8.xに含まれるWebサーバ 2.0
https://www.support.nec.co.jp/View.aspx?id=9010100937

WebOTX R4.x/R5.x/R6.x/R7.1に含まれるWebサーバ 1.3
https://www.support.nec.co.jp/View.aspx?id=9010100935

WebSAM AssetSuite

影響の有無

影響あり

対象となる製品のバージョン

WebSAM AssetSuite v3以降

対処方法

[対策]
サーバにMicrosoft社のWindowsパッチ(KB2585542)を適用することにより、
CBCモードの利用を停止してください。

WebSAM MCOperations

影響の有無

影響あり

対象となる製品のバージョン

WebSAM MCOperations Ver4.0.2以前

対処方法

[対策]
WebSAM MCOperations Ver 4.0.3で対応完了しています。
最新のWebSAM MCOperationsにバージョンアップしてください。
バージョンアップの手順につきましては弊社営業にお問合せください。

WebSAM SystemManager

影響の有無

影響あり

対象となる製品のバージョン

WebSAM SystemManager Ver6.0.2以前

対処方法

[対策]
WebSAM SystemManager 6.0.3.1で対応完了しています。
最新のWebSAM SystemManagerにバージョンアップしてください。
バージョンアップの手順につきましては弊社営業にお問合せください。

参考情報

JVN iPedia JVNDB-2013-001460:
TLS プロトコルおよび DTLS プロトコルにおける識別攻撃およびプレーンテキストリカバリ攻撃を誘発される脆弱性

CVE-2013-0169:

更新情報

2016/07/08
WebOTX を登録しました。
2016/01/29
iStorage NVシリーズを登録しました。
2015/07/27
EnterpriseDirectoryServerを更新しました。
2015/07/07
WebSAM AssetSuiteを登録しました。
2014/12/09
EnterpriseIdentityManager、InfoCage PCセキュリティ、WebSAM MCOperations、WebSAM SystemManagerを登録しました。
2014/06/02
CSVIEWを登録しました。
2014/04/28
EnterpriseDirectoryServerを登録しました。
2014/02/17
SecureWare/PKIアプリケーション開発キットを登録しました。