Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

OpenSSL に複数の脆弱性

掲載番号:NV17-009
脆弱性情報識別番号:JVNVU#92930223

概要

OpenSSL は、次の複数の脆弱性を修正したアップデートをリリースしました。
・ciphersuite ChaCha20/Poly1305 にヒープバッファオーバーフロー - CVE-2016-7054 (重要度:高)
・無効な CMS 構造の処理における NULL ポインタ参照の問題 - CVE-2016-7053 (重要度:中)
・モンゴメリ乗算処理の誤り - CVE-2016-7055 (重要度:低)

対象製品

EnterpriseIdentityManager

影響の有無

影響あり

本製品に同梱する EnterpriseDirectoryServer(以下、EDS) で SSL/TLS 通信しており、かつ下記より提供されるEDS 同梱 OpenSSL 1.0.2 パッチを適用している場合に影響があります。
http://www.support.nec.co.jp/View.aspx?id=9010106735

対象となる製品のバージョン

  • EnterpriseIdentityManager Ver2.0以降

 

対処方法

[対策]
EnterpriseDirectoryServer で SSL/TLS 通信している場合は、EnterpriseDirectoryServer の修正版を、以下のURLから取得して適用してください。
http://www.support.nec.co.jp/View.aspx?id=9010106909

ESMPRO/ServerAgent

影響の有無

影響あり

エクスプレス通報(HTTPS経由)を利用して、通報を送信する際、影響を受ける可能性があります。

対象となる製品のバージョン

  • Linux版 ESMPRO/ServerAgent 4.4.22-1以降

 

対処方法

[対策]
OpenSSL を脆弱性に対処済みの最新版にアップデートしてください。

ESMPRO/ServerAgentService

影響の有無

影響あり

エクスプレス通報(HTTPS経由)を利用して、通報を送信する際、影響を受ける可能性があります。

対象となる製品のバージョン

  • Linux版 ESMPRO/ServerAgentService 全バージョン

 

対処方法

[対策]
OpenSSL を脆弱性に対処済みの最新版にアップデートしてください。

WebOTX

影響の有無

影響あり

対象となる製品のバージョン

  • WebOTX Application Server Express V8.2~V9.4
  • WebOTX Application Server Foundation V8.2~V8.5
  • WebOTX Application Server Standard V8.2~V9.4
  • WebOTX Application Server Enterprise V8.2~V9.4
  • WebOTX Enterprise Service Bus V8.2~V8.5
  • WebOTX Portal V8.2~V9.1

各製品のV8.2~V9.3は、OpenSSL 1.0.2 に対応したパッチモジュールを適用している場合に影響を受ける可能性があります。

 

対処方法

[対策]
今後、より重要度の高い脆弱性が検出された場合に、本脆弱性をあわせて修正したパッチをリリースする予定です。
詳細は下記をご参照ください。
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=3010101948

[回避策]
512bitの楕円曲線以外の暗号方法の証明書を利用してください。

参考情報

更新情報

2017/07/21
EnterpriseIdentityManager、WebOTX を登録しました。
2017/03/08
ESMPRO/ServerAgent、ESMPRO/ServerAgentService を登録しました。