ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. ソリューション・サービス
  3. UNIVERGE
  4. UNIVERGE WA シリーズ
  5. 脆弱性問題(JVNVU#98667810)について
ここから本文です。

脆弱性問題(JVNVU#98667810)について

2016年10月6日
NEC スマートネットワーク事業部 データ・セキュリティ製品事業グループ

はじめに

2016年9月23日に、JPCERT/CCより
「OpenSSLに複数の脆弱性」
というレポートが発表されました。
 
 JPCERT/CC
 Japan Vulnerability Notes JVNVU#98667810
   http://jvn.jp/vu/JVNVU98667810/

製品カテゴリ

[対象製品]
WA1020, WA1510, WA1511, WA2021, WA2610-AP, WA2611-AP

[対象ソフトウェア]
ソフトウェアバージョン Ver3.0.2 から Ver7.2.18 までの全バージョン

影響を受けない脆弱性問題

OCSP Status Request にサービス運用妨害 (DoS) - CVE-2016-6304

SSL_peek() 関数の呼出し処理にサービス運用妨害 (DoS) - CVE-2016-6305

ブロック長が 64bit のブロック暗号に対する誕生日攻撃 (Sweet32) への緩和策
- CVE-2016-2183

MDC2_Update() 関数の呼出し処理にヒープベースのバッファオーバーフロー
- CVE-2016-6303

SHA512 を使用した不正な形式の TLS セッションチケットによるサービス運用妨害 (DoS)
- CVE-2016-6302

BN_bn2dec() 関数に領域外書込み - CVE-2016-2182

TS_OBJ_print_bio() 関数に領域外読込み - CVE-2016-2180

DTLS のハンドシェイク処理にサービス運用妨害 (DoS) - CVE-2016-2179

DTLS のリプレイ攻撃防止機能にサービス運用妨害 (DoS) - CVE-2016-2181

TLS メッセージのメモリ割当て処理にサービス運用妨害 (DoS) - CVE-2016-6307

DTLS メッセージのメモリ割当て処理にサービス運用妨害 (DoS) - CVE-2016-6308

影響を受ける脆弱性問題

ポインタ演算処理の未定義動作 - CVE-2016-2177

[想定される影響]
  本脆弱性に起因するDoS攻撃を受ける可能性がありますが、現状での影響度は不明です。
 
[影響を受ける条件]
  以下 2つの条件に合致する場合、この脆弱性問題の影響を受ける可能性があります。
 
  1. 現在使用しているソフトウェアが Ver. 7.2.18以前のバージョン
  2. 以下のいずれかの機能を利用している。
     ・ファームウェアアップデート機能でHTTPSを利用している。
     ・ダイナミックDNS機能でHTTPSを利用している。
     ・装置起動時の自動コンフィグダウンロード機能でHTTPSを利用している。
     ・装置起動時の自動ファームウェアアップデート機能でHTTPSを利用している。

[対策]
今後リリース予定の修正ソフトウェアへのバージョンアップ

[回避策]
信頼できるサーバ以外へのアクセスを行わないことで回避が可能です。

DSA 署名アルゴリズムに対するサイドチャネル攻撃 - CVE-2016-2178

[想定される影響]
  キャッシュタイミング攻撃により攻撃者にDSA 秘密鍵を取得される可能性があります。

[影響を受ける条件]
  以下 2つの条件に合致する場合、この脆弱性問題の影響を受ける可能性があります。
 
  1. 現在使用しているソフトウェアがVer. 7.2.18以前のバージョン
  2. 以下のいずれかの機能を利用している。
     ・ファームウェアアップデート機能でHTTPSを利用している。
     ・ダイナミックDNS機能でHTTPSを利用している。
     ・装置起動時の自動コンフィグダウンロード機能でHTTPSを利用している。
     ・装置起動時の自動ファームウェアアップデート機能でHTTPSを利用している。

[対策]
今後リリース予定の修正ソフトウェアへのバージョンアップ

[回避策]
信頼できるサーバ以外へのアクセスを行わないことで回避が可能です。

証明書の読込み処理およびリクエスト処理に領域外読込み - CVE-2016-6306

[想定される影響]
  本脆弱性に起因するDoS攻撃を受ける可能性がありますが、現状での影響度は不明です。
 
 [影響を受ける条件]
  以下 2つの条件に合致する場合、この脆弱性問題の影響を受ける可能性があります。

  1. 現在使用しているソフトウェアがVer. 7.2.18以前のバージョン
  2. 以下のいずれかの機能を利用している。
     ・ファームウェアアップデート機能でHTTPSを利用している。
     ・ダイナミックDNS機能でHTTPSを利用している。
     ・装置起動時の自動コンフィグダウンロード機能でHTTPSを利用している。
     ・装置起動時の自動ファームウェアアップデート機能でHTTPSを利用している。

[対策]
今後リリース予定の修正ソフトウェアへのバージョンアップ

[回避策]
信頼できるサーバ以外へのアクセスを行わないことで回避が可能です。

更新履歴

     2016年 10月6日  初版発行

ページの先頭へ戻る