Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

OpenSSL の DH プロトコルにおける脆弱性

掲載番号:NV16-007
脆弱性情報識別番号:JVNVU#95668716

概要

OpenSSL には、Diffie-Hellman (DH) プロトコルに「安全素数」でない素数を使用することで、暗号化に使用する鍵を特定される脆弱性が存在します。

対象製品

CapsSuite

影響の有無

影響あり

対象となる製品のバージョン

CapsSuite V3.0~V4.0 のマネージャコンポーネント

詳細は下記のリンク先情報にてご確認ください。
http://www.support.nec.co.jp/View.aspx?NoClear=on&id=3150110905

対処方法

[対策]
最新バージョン(V5.1) にバージョンアップする。

EnterpriseDirectoryServer

影響の有無

影響あり(※)

(※) CVE-2016-0701 は影響なし。CVE-2015-3197 のみ影響あり。

対象となる製品のバージョン

全バージョン

対処方法

[対策]
下記のパッチを適用することで対処できます。
http://www.support.nec.co.jp/View.aspx?id=9010104518

ESMPRO/ServerAgent

影響の有無

影響あり

エクスプレス通報(HTTPS経由)を利用して、通報を送信する際、暗号化に使用する鍵を特定される可能性があり、通報内容が取得される可能性があります。

対象となる製品のバージョン

  • Linux版 ESMPRO/ServerAgent Ver4.4.22-1以降

対処方法

[対策]
下記のサイトから、脆弱性が解消されたOpenSSLへのアップデートを行ってください。
https://access.redhat.com/solutions/2145861

なお、アクセスには Red Hat カスタマーポータルにアクセスするためのアカウント情報が必要となります。

ESMPRO/ServerAgentService

影響の有無

影響あり

エクスプレス通報(HTTPS経由)を利用して、通報を送信する際、暗号化に使用する鍵を特定される可能性があり、通報内容が取得される可能性があります。

対象となる製品のバージョン

  • Linux版 ESMPRO/ServerAgentService 全バージョン

対処方法

[対策]
下記のサイトから、脆弱性が解消されたOpenSSLへのアップデートを行ってください。
https://access.redhat.com/solutions/2145861

なお、アクセスには Red Hat カスタマーポータルにアクセスするためのアカウント情報が必要となります。

Express5800/SG

影響の有無

影響あり

対象となる製品のバージョン

  • UNIVERGE SG3000LG/LJ
  • SG3600LM/LG/LJ v6.1、v6.2、v7.0、v7.1、v8.0、v8.2
  • InterSecVM/SG v1.2、v3.0、v3.1、v4.0

対処方法

[対策]
下記のバージョンのパッチをリリースしています。
  • mp10009xx.pkg
  • mp10010xx.pkg
  • mp10011xx.pkg

下記のリンク先情報を参考にパッチ適用をお願いいたします。
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010104751

詳細については弊社営業へお問い合わせください。

SecureWare/PKIアプリケーション開発キット

影響の有無

影響あり

対象となる製品のバージョン

  • SecureWare/PKIアプリケーション開発キット Ver3.0、3.01、3.02、3.1

対処方法

[対策]
SecureWare/PKIアプリケーション開発キット Ver3.2 以降にバージョンアップしてください。
バージョンアップの詳細につきましては弊社営業にお問い合わせください。

WebSAM Application Navigator

影響の有無

影響あり

Manager、Agent に影響があります。

対象となる製品のバージョン

  • Manager: Ver3.2.2 - Ver4.1
  • Agent: Ver3.3 - Ver4.1

対処方法

[対策]
  • Manager、Agent:
Ver4.2 で対応を完了しています。
入手方法につきましては、弊社営業までお問い合わせください。

WebSAM MCOperations

影響の有無

影響あり


対象となる製品のバージョン

  • Ver3.6.2 - Ver4.2

対処方法

[対策]
Ver4.3 以降にバージョンアップをお願いします。
バージョンアップにつきましては、保守契約を締結した後、バージョンアップ申請を行っていただく必要があります。
不明点は弊社営業までご相談ください。

また、バージョンアップ手順につきましては、製品付属のリリースメモをご参照ください。

WebSAM SystemManager

影響の有無

影響あり

対象となる製品のバージョン

  • Ver5.5.2 - Ver6.2.1

対処方法

[対策]
Ver6.3 で対応を完了しています。
バージョンアップにつきましては、保守契約を締結した後、バージョンアップ申請を行っていただく必要があります。
不明点は弊社営業までご相談ください。

また、バージョンアップ手順につきましては、製品付属のリリースメモをご参照ください。

参考情報

Japan Vulnerability Notes JVNVU#95668716:
OpenSSL の DH プロトコルにおける脆弱性
http://jvn.jp/vu/JVNVU95668716/

CERT/CC Vulnerability Note VU#257823:
OpenSSL re-uses unsafe prime numbers in Diffie-Hellman protocol
https://www.kb.cert.org/vuls/id/257823

CVE-2016-0701, CVE-2015-3197:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0701
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3197

更新情報

2016/08/18
ESMPRO/ServerAgent、ESMPRO/ServerAgentService、Express5800/SG、WebSAM Application Navigator、WebSAM MCOperations、WebSAM SystemManager を登録しました。
2016/07/08
CapsSuite、SecureWare/PKIアプリケーション開発キットを登録しました。
2016/06/20
EnterpriseDirectoryServerを登録しました。