Japan
サイト内の現在位置を表示しています。
OpenSSLに複数の脆弱性
掲載番号:NV17-001
脆弱性情報識別番号:JVNVU#98667810
概要
OpenSSLには複数の脆弱性が存在します。
- CVE-2016-6304 (重要度:高): OCSP Status Request にサービス運用妨害 (DoS)
- CVE-2016-6305 (重要度:中): SSL_peek() 関数の呼出し処理にサービス運用妨害 (DoS)
- CVE-2016-2183 (重要度:低): ブロック長が 64bit のブロック暗号に対する誕生日攻撃 (Sweet32) への緩和策
- CVE-2016-6303 (重要度:低): MDC2_Update() 関数の呼出し処理にヒープベースのバッファオーバーフロー
- CVE-2016-6302 (重要度:低): SHA512 を使用した不正な形式の TLS セッションチケットによるサービス運用妨害 (DoS)
- CVE-2016-2182 (重要度:低): BN_bn2dec() 関数に領域外書込み
- CVE-2016-2180 (重要度:低): TS_OBJ_print_bio() 関数に領域外読込み
- CVE-2016-2177 (重要度:低): ポインタ演算処理の未定義動作
- CVE-2016-2178 (重要度:低): DSA 署名アルゴリズムに対するサイドチャネル攻撃
- CVE-2016-2179 (重要度:低): DTLS のハンドシェイク処理にサービス運用妨害 (DoS)
- CVE-2016-2181 (重要度:低): DTLS のリプレイ攻撃防止機能にサービス運用妨害 (DoS)
- CVE-2016-6306 (重要度:低): 証明書の読込み処理およびリクエスト処理に領域外読込み
- CVE-2016-6307 (重要度:低): TLS メッセージのメモリ割当て処理にサービス運用妨害 (DoS)
- CVE-2016-6308 (重要度:低): DTLS メッセージのメモリ割当て処理にサービス運用妨害 (DoS)
対象製品
CapsSuite
影響の有無
影響あり
本製品のマネージャが当該脆弱性の影響を受ける可能性があります。
本製品のマネージャが当該脆弱性の影響を受ける可能性があります。
対象となる製品のバージョン
- V3.0~V4.0
対処方法
[対策]
お客様からのお問い合わせに対して、個別の対応とさせて頂きます。
詳細につきましては、弊社営業までお問い合わせください。
詳細につきましては、弊社営業までお問い合わせください。
EnterpriseDirectoryServer
影響の有無
影響あり
CVE-2016-6304、CVE-2016-2183、CVE-2016-6306 の影響を受ける可能性があります。
CVE-2016-6304、CVE-2016-2183、CVE-2016-6306 の影響を受ける可能性があります。
対象となる製品のバージョン
- EnterpriseDirectoryServer(以下、EDS) V8.0 ~V8.1(※)
※ V7.1 以前は個別にお問い合わせください。
対処方法
EnterpriseIdentityManager
影響の有無
影響あり
対象となる製品のバージョン
製品で同梱しているSECUREMASTER/EnterpriseDirectoryServer(EDS)に影響があります。
対処方法
[対策]
ESMPRO/ServerAgent
影響の有無
影響あり
エクスプレス通報(HTTPS経由)を利用して、通報を送信する際、暗号化に使用する鍵を特定される可能性があります。
エクスプレス通報(HTTPS経由)を利用して、通報を送信する際、暗号化に使用する鍵を特定される可能性があります。
対象となる製品のバージョン
- ESMPRO/ServerAgent 4.4.22-1以降
対処方法
[対策]
Red Hat カスタマーポータルから、脆弱性が解消されたOpenSSLへのアップデートを行ってください。
ESMPRO/ServerAgentService
影響の有無
影響あり
エクスプレス通報(HTTPS経由)を利用して、通報を送信する際、暗号化に使用する鍵を特定される可能性があります。
エクスプレス通報(HTTPS経由)を利用して、通報を送信する際、暗号化に使用する鍵を特定される可能性があります。
対象となる製品のバージョン
- Linux版 ESMPRO/ServerAgentService 全バージョン
対処方法
[対策]
Red Hat カスタマーポータルから、脆弱性が解消されたOpenSSLへのアップデートを行ってください。
Express5800/SG
影響の有無
影響あり
対象となる製品のバージョン
- SG3600全シリーズ
対処方法
[対策]
下記のリンク先情報を参考にパッチ適用をお願いいたします。
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010106765
詳細については弊社営業へお問い合わせください。
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010106765
詳細については弊社営業へお問い合わせください。
IX1000/IX2000/IX3000シリーズ
影響の有無
影響あり
対象となる製品のバージョン
- 対象製品
IX2005, IX2105, IX2025, IX2207, IX2215, IX3010, IX3015, IX3110, IX3315(ゼロコンフィグモデルを含む)
- 対象ソフトウェア
ソフトウェアバージョン Ver.9.4.15 以前の全バージョン
- 影響を受ける条件
以下のいずれかの機能を使用している場合、影響を受ける可能性があります。
(※) ゼロコンフィグモデルのみ対象となります。
影響を受ける可能性がある脆弱性は機能により異なります。
詳細は下記をご確認ください。
https://jpn.nec.com/univerge/ix/Support/Security-Info/JVNVU98667810.html
- ゼロコンフィグ機能 (※) を使用している。
- ファームウェアアップデート機能でHTTPSを利用している。
- ダイナミックDNS機能でHTTPSを利用している。
- 装置起動時の自動コンフィグダウンロード機能でHTTPSを利用している。
- 装置起動時の自動ファームウェアアップデート機能でHTTPSを利用している。
- IKEv2で利用するCA証明書の装置登録時にHTTPSを利用している。
(※) ゼロコンフィグモデルのみ対象となります。
影響を受ける可能性がある脆弱性は機能により異なります。
詳細は下記をご確認ください。
https://jpn.nec.com/univerge/ix/Support/Security-Info/JVNVU98667810.html
対処方法
[対策]
修正ソフトウェア、または、保守用ソフトウェアへのバージョンアップを行ってください。
[回避策]
ゼロコンフィグ機能を使用している場合:
IXルータの外部接続ポートでNAT/NAPTを利用している場合、もしくは、他ルータ/キャリア網などでIXルータをNAT/NAPT越しで利用している場合は、回避策は不要です。(脆弱ではありません)
上記以外の場合、適切なフィルタ設定により、任意の攻撃者のパケットを遮断することで回避が可能です。
その他の機能を使用している場合:上記以外の場合、適切なフィルタ設定により、任意の攻撃者のパケットを遮断することで回避が可能です。
- サービス事業者に『SMFv2のPUSHポート』を確認します。
- IXルータ自身を宛先とした 1. のポートを全遮断するフィルタを設定します。
※RSサーバアドレスとの通信のみは自動的にフィルタが解除されるため、全アドレスに対して廃棄設定することで脆弱性の回避が可能です。
信頼できるサーバ以外へのアクセスを行わないことで回避が可能です。
SecureWare/PKIアプリケーション開発キット
影響の有無
影響あり
対象となる製品のバージョン
- SecureWare/PKIアプリケーション開発キット Ver3.2
対処方法
[対策]
修正パッチモジュールにて対応します。
パッチモジュールの詳細につきましては弊社営業にお問い合わせください。
パッチモジュールの詳細につきましては弊社営業にお問い合わせください。
SystemDirector Enterprise
影響の有無
影響あり
脆弱性により影響は異なりますが、EclipseのSubclipseを利用してSubversionクライアントにJavaHLが設定された状態でSubversionサーバと通信を行った場合にサーバとクライアント間のSSL/TLS通信が、中間者攻撃によって解読されたり、改ざんされたりする可能性があります。
脆弱性により影響は異なりますが、EclipseのSubclipseを利用してSubversionクライアントにJavaHLが設定された状態でSubversionサーバと通信を行った場合にサーバとクライアント間のSSL/TLS通信が、中間者攻撃によって解読されたり、改ざんされたりする可能性があります。
対象となる製品のバージョン
- SystemDirector Enterprise for Java(全モデル) V5.1~V7.2
対処方法
[対策]
SystemDirector Enterprise for Java V8.0 以降にバージョンアップしてください。
バージョンアップの詳細につきましては弊社営業にお問い合わせください。
バージョンアップの詳細につきましては弊社営業にお問い合わせください。
[回避策]
以下の手順で SVN クライアントを OpenSSL を利用する JavaHL から SVNKit へ変更します。
- Eclipse の「ウィンドウ」メニューから「設定」を選択する。
- 設定画面で「チーム」->「SVN」を選択する。
- SVN インターフェイスが「JavaHL (JNI) <バージョン情報>」だった場合、「SVNkit(Pure Java) SVNKit <バージョン情報>」を選択して「OK」ボタンを押す。
WebOTX
影響の有無
影響あり
対象となる製品のバージョン
- WebOTX Application Server Express V8.2~V9.4(※)
- WebOTX Application Server Foundation V8.2~V8.5
- WebOTX Application Server Standard V8.2~V9.4
- WebOTX Application Server Enterprise V8.2~V9.4
- WebOTX Portal V8.2~V9.1
- WebOTX Enterprise Service Bus V8.2~V8.5
(※) WebOTX Enterprise Service Bus V9.2~V9.3 にバンドルされているWebOTX Application Server Express を使用している場合にも該当します。
対処方法
[対策]
以下に記載している公開済みパッチモジュールを適用してください。
Apache HTTP Server 2.4.23 for WebOTX V9.4:
https://www.support.nec.co.jp/View.aspx?id=9010104737
Apache HTTP Server 2.4.23 for WebOTX V9.3:
https://www.support.nec.co.jp/View.aspx?id=9010103925
Apache HTTP Server 2.2.31 for WebOTX V8.2~V9.4:
https://www.support.nec.co.jp/View.aspx?id=9010102290
Apache HTTP Server 2.4.23 for WebOTX V9.4:
https://www.support.nec.co.jp/View.aspx?id=9010104737
Apache HTTP Server 2.4.23 for WebOTX V9.3:
https://www.support.nec.co.jp/View.aspx?id=9010103925
Apache HTTP Server 2.2.31 for WebOTX V8.2~V9.4:
https://www.support.nec.co.jp/View.aspx?id=9010102290
WebSAM JobCenter
影響の有無
影響あり
対象となる製品のバージョン
- WebSAM JobCenter R14.1
- WebSAM JobCenter R14.2
対処方法
[対策]
次のページにて本脆弱性に対応した修正モジュールを公開しています。
なお、修正モジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。
R14.1向け修正モジュール
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010104074
R14.2向け修正モジュール
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010104656
UNIVERGE PFシリーズ
影響の有無
影響あり
OpenFlow コントロールとの間で TLS を使った通信を行う場合、本脆弱性の影響を受ける可能性があります。
OpenFlow コントロールとの間で TLS を使った通信を行う場合、本脆弱性の影響を受ける可能性があります。
対象となる製品のバージョン
- - PF5220: V6.0.2.0以前のソフトウェア全バージョン
- - PF5240: V6.0.2.0以前のソフトウェア全バージョン
- - PF5241: V6.0.1.1以前のソフトウェア全バージョン
- - PF5248: V6.0.2.0以前のソフトウェア全バージョン
対処方法
[対策]
次のバージョンのソフトウェアで対応完了しています。最新のバージョンにバージョンアップしてください。
- V5.1.1.4、V6.0.2.1
ソフトウェアの入手につきましては、販売店またはお近くの弊社営業拠点にご相談ください。。
- V5.1.1.4、V6.0.2.1
ソフトウェアの入手につきましては、販売店またはお近くの弊社営業拠点にご相談ください。。
iStorage Tシリーズ
影響の有無
影響あり
対象となる製品のバージョン
T100A/T700A/T700A2
対処方法
[対策]
最新のFWを適用してください。
参考情報
Japan Vulnerability Notes JVNVU#95877131:
OpenSSL に複数の脆弱性
https://jvn.jp/vu/JVNVU98667810/
CVE-2016-6304, CVE-2016-6305, CVE-2016-2183, CVE-2016-6303, CVE-2016-6302,
CVE-2016-2182, CVE-2016-2180, CVE-2016-2177, CVE-2016-2178, CVE-2016-2179,
CVE-2016-2181, CVE-2016-6306, CVE-2016-6307, CVE-2016-6308:
https://www.cve.org/CVERecord?id=CVE-2016-6304
https://www.cve.org/CVERecord?id=CVE-2016-6305
https://www.cve.org/CVERecord?id=CVE-2016-2183
https://www.cve.org/CVERecord?id=CVE-2016-6303
https://www.cve.org/CVERecord?id=CVE-2016-6302
https://www.cve.org/CVERecord?id=CVE-2016-2182
https://www.cve.org/CVERecord?id=CVE-2016-2180
https://www.cve.org/CVERecord?id=CVE-2016-2177
https://www.cve.org/CVERecord?id=CVE-2016-2178
https://www.cve.org/CVERecord?id=CVE-2016-2179
https://www.cve.org/CVERecord?id=CVE-2016-2181
https://www.cve.org/CVERecord?id=CVE-2016-6306
https://www.cve.org/CVERecord?id=CVE-2016-6307
https://www.cve.org/CVERecord?id=CVE-2016-6308
更新情報
- 2023/06/27
- 2020/12/18
- 2019/09/12
- 2018/02/05
- 2017/09/29
- 2017/01/31
