Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

OpenSSL に複数の脆弱性

掲載番号:NV17-011
脆弱性情報識別番号:JVNVU#92830136

概要

OpenSSL は、次に挙げる脆弱性を修正したアップデートをリリースしました。

  • CVE-2017-3731: 細工された(Truncated) パケットが、範囲外 (out-of-bounds) の読み込みを通じてクラッシュする可能性
  • CVE-2017-3730: 不正な (EC)DHE パラメータによりクライアントがクラッシュする可能性
  • CVE-2017-3732: BN_mod_exp 関数処理の x86_64 環境での誤り
  • CVE-2016-7055: モンゴメリ乗算処理の誤り

 

対象製品

EnterpriseDirectoryServer

影響の有無

影響あり

本製品に同梱する OpenSSL 1.0.2 を利用している場合に、CVE-2017-3731、CVE-2017-3732、CVE-2016-7055 の影響があります。
OpenSSL のバージョンは下記で確認可能です。
  • Linux:   /opt/nec/eds/bin/openssl version
  • Windows: "C:\Program Files\EDS\BIN\openssl.exe" version

 

対象となる製品のバージョン

  • 全バージョン

 

対処方法

[対策]
下記のパッチを適用することで対処できます。
http://www.support.nec.co.jp/View.aspx?id=9010106909

ESMPRO/ServerAgent

影響の有無

影響あり

エクスプレス通報(HTTPS経由)を利用して通報を送信する際、情報が漏えいしたり、プロセスが停止する可能性があります。

対象となる製品のバージョン

  • Linux版 ESMPRO/ServerAgent 4.4.22-1以降

 

対処方法

[対策]
Red Hat カスタマーポータルから、脆弱性が解消されたOpenSSLへのアップデートを行ってください。

ESMPRO/ServerAgentService

影響の有無

影響あり

エクスプレス通報(HTTPS経由)を利用して通報を送信する際、情報が漏えいしたり、プロセスが停止する可能性があります。

対象となる製品のバージョン

  • Linux版 ESMPRO/ServerAgentService 全バージョン

 

対処方法

[対策]
Red Hat カスタマーポータルから、脆弱性が解消されたOpenSSLへのアップデートを行ってください。

Express5800/SG

影響の有無

影響あり

対象となる製品のバージョン

  • 全バージョン

 

対処方法

[対策]
下記のリンク先情報を参考にパッチ適用をお願いいたします。
https://www.support.nec.co.jp/View.aspx?id=9010106953

詳細については弊社営業へお問い合わせください。

WebOTX

影響の有無

影響あり

OpenSSL 1.0.1および、1.0.2に対応したパッチモジュールを適用している場合に影響を受ける可能性があります。

対象となる製品のバージョン

  • WebOTX Application Server Express V8.2~V9.4 (※)
  • WebOTX Application Server Foundation V8.2~V8.5
  • WebOTX Application Server Standard V8.2~V9.4
  • WebOTX Application Server Enterprise V8.2~V9.4
  • WebOTX Enterprise Service Bus V8.2~V8.5
  • WebOTX Portal V8.2~V9.1

(※) WebOTX Enterprise Service Bus V9.2~V9.3、および、 WebOTX Portal V9.3に同梱されている WebOTX Application Server Expressを使用している場合にも該当します。

 

対処方法

[対策]
今後、より重要度の高い脆弱性が検出された場合に、本脆弱性をあわせて修正したパッチをリリースする予定です。
詳細は下記をご参照ください。
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=3010101975

参考情報

更新情報

2017/09/29
EnterpriseDirectoryServer、ESMPRO/ServerAgent、ESMPRO/ServerAgentService、Express5800/SG を登録しました。
2017/07/21
WebOTX を登録しました。