Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

OpenSSLに複数の脆弱性

掲載番号:NV17-001
脆弱性情報識別番号:JVNVU#98667810

概要

OpenSSLには複数の脆弱性が存在します。

  • CVE-2016-6304 (重要度:高): OCSP Status Request にサービス運用妨害 (DoS)
  • CVE-2016-6305 (重要度:中): SSL_peek() 関数の呼出し処理にサービス運用妨害 (DoS)
  • CVE-2016-2183 (重要度:低): ブロック長が 64bit のブロック暗号に対する誕生日攻撃 (Sweet32) への緩和策
  • CVE-2016-6303 (重要度:低): MDC2_Update() 関数の呼出し処理にヒープベースのバッファオーバーフロー
  • CVE-2016-6302 (重要度:低): SHA512 を使用した不正な形式の TLS セッションチケットによるサービス運用妨害 (DoS)
  • CVE-2016-2182 (重要度:低): BN_bn2dec() 関数に領域外書込み
  • CVE-2016-2180 (重要度:低): TS_OBJ_print_bio() 関数に領域外読込み
  • CVE-2016-2177 (重要度:低): ポインタ演算処理の未定義動作
  • CVE-2016-2178 (重要度:低): DSA 署名アルゴリズムに対するサイドチャネル攻撃
  • CVE-2016-2179 (重要度:低): DTLS のハンドシェイク処理にサービス運用妨害 (DoS)
  • CVE-2016-2181 (重要度:低): DTLS のリプレイ攻撃防止機能にサービス運用妨害 (DoS)
  • CVE-2016-6306 (重要度:低): 証明書の読込み処理およびリクエスト処理に領域外読込み
  • CVE-2016-6307 (重要度:低): TLS メッセージのメモリ割当て処理にサービス運用妨害 (DoS)
  • CVE-2016-6308 (重要度:低): DTLS メッセージのメモリ割当て処理にサービス運用妨害 (DoS)

 

対象製品

CapsSuite

影響の有無

影響あり

本製品のマネージャが当該脆弱性の影響を受ける可能性があります。

対象となる製品のバージョン

  • V3.0~V4.0

 

対処方法

[対策]
お客様からのお問い合わせに対して、個別の対応とさせて頂きます。
詳細につきましては、弊社営業までお問い合わせください。

EnterpriseDirectoryServer

影響の有無

影響あり

CVE-2016-6304、CVE-2016-2183、CVE-2016-6306 の影響を受ける可能性があります。

対象となる製品のバージョン

  •  EnterpriseDirectoryServer(以下、EDS) V8.0 ~V8.1(※)

 ※ V7.1 以前は個別にお問い合わせください。

 

対処方法

[対策]
対処方法については下記にてご確認ください。
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010106559

EnterpriseIdentityManager

影響の有無

影響あり

対象となる製品のバージョン

  製品で同梱しているSECUREMASTER/EnterpriseDirectoryServer(EDS)に影響があります。

 

対処方法

[対策]
対処方法については下記 (EDSの対処方法) にてご確認ください。
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010106559

ESMPRO/ServerAgent

影響の有無

影響あり

エクスプレス通報(HTTPS経由)を利用して、通報を送信する際、暗号化に使用する鍵を特定される可能性があります。

対象となる製品のバージョン

  • ESMPRO/ServerAgent 4.4.22-1以降

 

対処方法

[対策]
Red Hat カスタマーポータルから、脆弱性が解消されたOpenSSLへのアップデートを行ってください。

ESMPRO/ServerAgentService

影響の有無

影響あり

エクスプレス通報(HTTPS経由)を利用して、通報を送信する際、暗号化に使用する鍵を特定される可能性があります。

対象となる製品のバージョン

  • Linux版 ESMPRO/ServerAgentService 全バージョン

 

対処方法

[対策]
Red Hat カスタマーポータルから、脆弱性が解消されたOpenSSLへのアップデートを行ってください。

Express5800/SG

影響の有無

影響あり

対象となる製品のバージョン

  • SG3600全シリーズ

 

対処方法

[対策]
下記のリンク先情報を参考にパッチ適用をお願いいたします。
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010106765

詳細については弊社営業へお問い合わせください。

IX1000/IX2000/IX3000シリーズ

影響の有無

影響あり

対象となる製品のバージョン

  • 対象製品
IX2005, IX2105, IX2025, IX2207, IX2215, IX3010, IX3015, IX3110, IX3315(ゼロコンフィグモデルを含む)

  • 対象ソフトウェア
ソフトウェアバージョン Ver.9.4.15 以前の全バージョン

  • 影響を受ける条件
以下のいずれかの機能を使用している場合、影響を受ける可能性があります。
  • ゼロコンフィグ機能 (※) を使用している。
  • ファームウェアアップデート機能でHTTPSを利用している。
  • ダイナミックDNS機能でHTTPSを利用している。
  • 装置起動時の自動コンフィグダウンロード機能でHTTPSを利用している。
  • 装置起動時の自動ファームウェアアップデート機能でHTTPSを利用している。
  • IKEv2で利用するCA証明書の装置登録時にHTTPSを利用している。

(※) ゼロコンフィグモデルのみ対象となります。

影響を受ける可能性がある脆弱性は機能により異なります。
詳細は下記をご確認ください。
http://jpn.nec.com/univerge/ix/Support/Security-Info/JVNVU98667810.html

対処方法

[対策]
修正ソフトウェア、または、保守用ソフトウェアへのバージョンアップを行ってください。

[回避策]
ゼロコンフィグ機能を使用している場合:
IXルータの外部接続ポートでNAT/NAPTを利用している場合、もしくは、他ルータ/キャリア網などでIXルータをNAT/NAPT越しで利用している場合は、回避策は不要です。(脆弱ではありません)

上記以外の場合、適切なフィルタ設定により、任意の攻撃者のパケットを遮断することで回避が可能です。
  1. サービス事業者に『SMFv2のPUSHポート』を確認します。
  2. IXルータ自身を宛先とした 1. のポートを全遮断するフィルタを設定します。
    ※RSサーバアドレスとの通信のみは自動的にフィルタが解除されるため、全アドレスに対して廃棄設定することで脆弱性の回避が可能です。
その他の機能を使用している場合:
信頼できるサーバ以外へのアクセスを行わないことで回避が可能です。

SecureWare/PKIアプリケーション開発キット

影響の有無

影響あり

対象となる製品のバージョン

  • SecureWare/PKIアプリケーション開発キット Ver3.2

 

対処方法

[対策]
修正パッチモジュールにて対応します。
パッチモジュールの詳細につきましては弊社営業にお問い合わせください。

WebOTX

影響の有無

影響あり

対象となる製品のバージョン

  • WebOTX Application Server Express V8.2~V9.4(※)
  • WebOTX Application Server Foundation V8.2~V8.5
  • WebOTX Application Server Standard V8.2~V9.4
  • WebOTX Application Server Enterprise V8.2~V9.4
  • WebOTX Portal V8.2~V9.1
  • WebOTX Enterprise Service Bus V8.2~V8.5

(※) WebOTX Enterprise Service Bus V9.2~V9.3 にバンドルされているWebOTX Application Server Express を使用している場合にも該当します。

 

対処方法

[対策]
以下に記載している公開済みパッチモジュールを適用してください。

Apache HTTP Server 2.4.23 for WebOTX V9.4:
http://www.support.nec.co.jp/View.aspx?id=9010104737

Apache HTTP Server 2.4.23 for WebOTX V9.3:
http://www.support.nec.co.jp/View.aspx?id=9010103925

Apache HTTP Server 2.2.31 for WebOTX V8.2~V9.4:
http://www.support.nec.co.jp/View.aspx?id=9010102290

参考情報

Japan Vulnerability Notes JVNVU#95877131:
OpenSSL に複数の脆弱性
https://jvn.jp/vu/JVNVU98667810/

CVE-2016-6304, CVE-2016-6305, CVE-2016-2183, CVE-2016-6303, CVE-2016-6302,
CVE-2016-2182, CVE-2016-2180, CVE-2016-2177, CVE-2016-2178, CVE-2016-2179,
CVE-2016-2181, CVE-2016-6306, CVE-2016-6307, CVE-2016-6308:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6304
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6305
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2183
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6303
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6302
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2182
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2180
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2177
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2178
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2179
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2181
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6306
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6307
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6308

更新情報

2017/09/29
WebOTX を更新しました。
SecureWare/PKIアプリケーション開発キット を登録しました。
2017/07/21
EnterpriseDirectoryServer、EnterpriseIdentityManager、WebOTX を登録しました。
2017/03/08
Express5800/SG、ESMPRO/ServerAgent、ESMPRO/ServerAgentService を登録しました。
2017/01/31
CapsSuite、IX1000/IX2000/IX3000シリーズを登録しました。