Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

OpenSSLに複数の脆弱性

掲載番号:NV16-015
脆弱性情報識別番号:JVNVU#93163809

概要

OpenSSLには複数の脆弱性が存在します。

  • ASN.1 エンコーダにメモリ破損 - CVE-2016-2108
  • AES-NI CBC MAC チェックに対するパディングオラクル攻撃 - CVE-2016-2107
  • EVP_EncodeUpdate() にバッファオーバーフロー - CVE-2016-2105
  • EVP_EncryptUpdate() にバッファオーバーフロー - CVE-2016-2106
  • BIO 経由で読み込んだ ASN.1 データの処理にサービス運用妨害 (DoS) - CVE-2016-2109
  • EBCDIC システムにおける X509_NAME_oneline() 関数の ASN.1 データの処理にサービス運用妨害 (DoS) - CVE-2016-2176

 

対象製品

CapsSuite

影響の有無

影響あり

 

本製品のマネージャーが当該脆弱性の影響を受ける可能性があります。


対象となる製品のバージョン

  • V3.0~V4.0

対処方法

[対策]
お客様からのお問い合わせに対して、個別の対応とさせて頂きます。
詳細につきましては、弊社営業までお問い合わせください。

EnterpriseDirectoryServer

影響の有無

影響あり

対象となる製品のバージョン

  • EnterpriseDirectoryServer(以下、EDS) Ver6.1 ~ V8.0

以下のすべてを満たす場合に、CVE-2016-2107 の影響を受けます。
  • BIOS などで AES-NI を有効している。
  • 以下のコマンドを実行した結果、CipherSuite が1行以上表示される(AES256-SHA256など)。
# LD_LIBRARY_PATH=/opt/nec/eds/lib /opt/nec/eds/bin/openssl ciphers -v \
`grep -i ldapCipherSuite /etc/opt/nec/eds/ldapd.conf | awk '{print $2}'` | \
grep AES | grep -v GCM
  • EDSサーバにTLSでアクセスするクライアントがAES-GCMをサポートしていない。

 

対処方法

[対策]
下記のパッチを適用することで対処できます。
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010106735

[回避策]
パッチを適用するまでの間は、下記のいずれかの回避策を行うことで対処可能です。

  • EDS の設定項目 ldapCipherSuite で AES256-GCM-SHA384 など CBC を使用しない CipherSuite をのみを指定する。なお、EDS にアクセスするクライアントが当該 CipherSuite に対応していない場合、当該クライアントは TLS で EDS にアクセスできなくなります。
  • BIOSなどの設定でAES-NIを無効にする。なお、無効にした場合は AES の処理性能が劣化する恐れがあります。
 

ESMPRO/ServerAgent

影響の有無

影響あり

エクスプレス通報(HTTPS経由)を利用して、通報を送信する際、暗号化に使用する鍵を特定される可能性があります。

対象となる製品のバージョン

  • Linux版 ESMPRO/ServerAgent 4.4.22-1以降

対処方法

[対策]
下記のサイトから、脆弱性が解消されたOpenSSLへのアップデートを行ってください。
https://access.redhat.com/solutions/2298211

なお、アクセスには Red Hat カスタマーポータルにアクセスするためのアカウント情報が必要となります。

ESMPRO/ServerAgentService

影響の有無

影響あり

エクスプレス通報(HTTPS経由)を利用して、通報を送信する際、暗号化に使用する鍵を特定される可能性があります。

対象となる製品のバージョン

  • Linux版 ESMPRO/ServerAgentService 全バージョン

対処方法

[対策]
下記のサイトから、脆弱性が解消されたOpenSSLへのアップデートを行ってください。
https://access.redhat.com/solutions/2298211

なお、アクセスには Red Hat カスタマーポータルにアクセスするためのアカウント情報が必要となります。

Express5800/SG

影響の有無

影響あり

対象となる製品のバージョン

  • UNIVERGE SG3000LG/LJ
  • SG3600LM/LG/LJ v6.1、v6.2、v7.0、v7.1、v8.0、v8.2
  • InterSecVM/SG v1.2、v3.0、v3.1、v4.0

対処方法

[対策]
下記のバージョンのパッチをリリースしています。
  • mp10009xx.pkg
  • mp10010xx.pkg
  • mp10011xx.pkg

下記のリンク先情報を参考にパッチ適用をお願いいたします。
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010104751

詳細については弊社営業へお問い合わせください。

IP38Xシリーズ

影響の有無

影響あり

下記に該当する場合、CVE-2016-2108 の影響を受けます。
この脆弱性が発現した場合には、メモリー破壊が発生し、ハングアップやリブートが発生する可能性がありますが、情報漏洩のおそれはありません。

  1. IP38Xシリーズの、IKEv2で使用するIPsec/IKE デジタル署名、EAP-MD5認証機能
     具体的には、以下のコマンドが設定されている場合に、この脆弱性の影響を受ける可能性があります。
      - pki certificate file コマンドが設定されている場合
      - ipsec ike auth method コマンドで method に certificate か eap-md5 が設定されている場合
  2. IP38X/N500 の ONFSミラーリング機能
  3. IP38Xシリーズの外部データベース参照型URLフィルターで、トレンドマイクロ様のサービスを使用した場合
  4. IP38X/FW120 のメールセキュリティー機能

対象となる製品のバージョン

    1. IP38Xシリーズ
    機種 該当ファームウェア
    IP38X/1210 全てのリビジョン
    IP38X/5000 全てのリビジョン
    IP38X/3500 全てのリビジョン
    IP38X/FW120 Rev.11.03.13以前
    IP38X/810 全てのリビジョン
    IP38X/1200 Rev.10.01.22以降
    IP38X/3000 Rev.9.00.50以降

    2. IP38X/N500
    機種 該当ファームウェア
    IP38X/N500 全てのリビジョン

    3. IP38Xシリーズ
    機種 該当ファームウェア
    IP38X/FW120 Rev.11.31.04以降
    ~Rev.11.03.13以前
    IP38X/1200 Rev.10.01.22以降
    IP38X/SR100 Rev.10.00.52以降

    4. IP38X/FW120
    機種 該当ファームウェア
    IP38X/FW120 Rev.11.03.10 build1以降
    ~Rev.11.03.13以前

対処方法

[対策]
以下のファームウェアへのリビジョンアップをお願いします。
  1. IP38Xシリーズ
  2. 機種 該当ファームウェア
    IP38X/1210 順次リリース予定
    IP38X/5000 順次リリース予定
    IP38X/3500 順次リリース予定
    IP38X/FW120 Rev.11.03.18
    IP38X/810 順次リリース予定
    IP38X/1200 順次リリース予定
    IP38X/3000 順次リリース予定

  3. IP38X/N500
  4. 機種 該当ファームウェア
    IP38X/N500 順次リリース予定

  5. IP38Xシリーズ
  6. 機種 該当ファームウェア
    IP38X/FW120 Rev.11.03.18
    IP38X/1200 順次リリース予定
    IP38X/SR100 順次リリース予定

  7. IP38X/FW120
  8. 機種 該当ファームウェア
    IP38X/FW120 Rev.11.03.18

[回避策]
  1. IP38Xシリーズ
  2. IPsec で IKEv2 を使用する場合は、認証方式に「事前共有鍵方式」を使用する

    コマンド:
    ipsec ike auth method GATEWAY pre-shared-key
    なお、IPsec を使用しない場合、あるいは、IPsec で IKEv2 を使用しない場合は、本脆弱性の影響を受けません。また、工場出荷状態では、IKEv2 を使用しません。

  3. IP38X/N500
  4. ONFSミラーリング機能を無効にする
    IP38X/N500 で ONFSミラーリング機能 の利用を停止すれば回避できます。Web設定画面、あるいはコマンドで設定します。

    Web設定画面 :
    [詳細設定と情報]→[ファイル共有/同期の設定]→[ファイル同期の設定]→ [使用しない] を選択して[設定の確定]を押す
    コマンド :
    onfs mirroring use off
    なお、工場出荷状態ではONFSミラーリング機能は無効になっています。

  5. IP38Xシリーズ
  6. 外部データベース参照型URLフィルター(トレンドマイクロ)を停止する
    外部データベース参照型URLフィルター(トレンドマイクロ)の利用を停止すれば回避できます。なお、工場出荷状態では外部データベース参照型URLフィルターは無効になっております。

  7. IP38X/FW120
  8. メールセキュリティー機能を停止する
    IP38X/FW120 で メールセキュリティー機能 の利用を停止すれば回避できます。

    コマンド:
    mail security use off(デフォルト off)
    なお、工場出荷状態ではメールセキュリティー機能は無効になっております。

UNIVERGE Business ConneCT

影響の有無

影響あり

対象となる製品のバージョン

  • V7.1.1

 

対処方法

[対策]
最新の修正パッチで対応が完了しています。
詳細については弊社営業へお問い合わせください。

WebOTX

影響の有無

影響あり

対象となる製品のバージョン

  • WebOTX Application Server Express V8.2~V9.4
  • WebOTX Application Server Foundation V8.2~V8.5
  • WebOTX Application Server Standard V8.2~V9.4
  • WebOTX Application Server Enterprise V8.2~V9.4
  • WebOTX Enterprise Service Bus V8.2~V9.3

 

対処方法

[対策]
以下に記載している公開済みパッチモジュールを適用してください。
  • Webサーバ2.4 for WebOTX V9.3:
http://www.support.nec.co.jp/View.aspx?id=9010103925

  • Webサーバ2.4 for WebOTX V9.4:
http://www.support.nec.co.jp/View.aspx?id=9010104737

  • Webサーバ2.2 V8.2~V9.4:
http://www.support.nec.co.jp/View.aspx?id=9010102290

OpenSSL1.0.1より前のバージョン、および、Webサーバ 2.0以前のバージョンについては、パッチ提供の予定はありません。
対処方法の詳細等につきましては、下記をご確認ください。
http://www.support.nec.co.jp/View.aspx?id=3010101618

WebSAM NetvisorPro

影響の有無

影響あり

「ProgrammableFlow トポロジの発見」のPFC接続において、CVE-2016-2107の影響を受ける可能性があります。

対象となる製品のバージョン

  • Version:6.1, 6.2, 7.0

 

対処方法

[対策]
以下で公開しているOpenSSL 1.0.2hへのバージョンアップパッチをご適用ください。
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010104395
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010104394

なお、パッチは保守契約を結んでいただいたお客様に限定して提供させていただいています。

参考情報

更新情報

2017/01/31
EnterpriseDirectoryServer、UNIVERGE Business ConneCT、WebOTX、WebSAM NetvisorPro を登録しました。
2016/09/14
IP38Xシリーズを登録しました。
2016/08/18
CapsSuite、ESMPRO/ServerAgent、ESMPRO/ServerAgentService、Express5800/SG を登録しました。