Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.
RSA 実装において署名が正しく検証されない脆弱性
掲載番号:NV6-007
脆弱性情報識別番号:VU#845620
概要
RSAを実装している複数のソフトウェアにおいて、署名が正しく検証されない脆弱性が存在します。
対象製品
EnterpriseDirectoryServer
影響の有無
影響あり
対象となる製品のバージョン
EnterpriseDirectoryServerの全バージョン
EDSに添付されたBuilt-in CA証明書をお使いの場合、RSA 署名で使用する RSA 公開鍵は exponent=65537 であるため影響を受けません。
対処方法
[対策]
既存バージョンについては、修正の予定はありませんが、次のバージョンについて対処を検討中です。
[回避策]
信頼できる相手のみを接続先として指定することで、信頼できない相手からの証明書を受け取ることはなくなるため、影響は限定的になります。
お問い合わせ先
e-mail:directory@cced.jp.nec.com
PKIサーバ/Carassuit検証サーバ
SecureWare/PKIアプリケーション開発キット
SecureWare/電子署名開発キット
SecureWare/セキュリティパック
影響の有無
影響あり
対象となる製品のバージョン
- PKIサーバ/Carassuit検証サーバ ver1.0
- PKIサーバ/Carassuit検証サーバ ver1.1
- SecureWare/PKIアプリケーション開発キット Ver2.0 SSLオプション
- SecureWare/電子署名開発キット Ver1.0 SSLオプション(Linux版)
- SecureWare/セキュリティパック
署名者の公開鍵はexponent=3であり、かつ、1050bit以上の鍵長を持つ場合に影響があります。
対処方法
[対策]
対応バージョンが必要な場合は製品窓口までお問い合わせ下さい。
UNIVERGE IP8800シリーズ
影響の有無
影響あり
IP8800/700は2011年6月30日を持ちましてサポートを終了しました。
※サポート終了前の掲載情報
対象となる製品のバージョン
IP8800/700 R7.3ed23以前
対処方法
[対策]
R7.3ed24にバージョンアップをしてください。
詳細は下記のソフトウェアリリース通知を参照して下さい。
http://www.nec.co.jp/octpower/
参考情報
Japan Vulnerability Notes JVNVU#845620:
複数の RSA 実装において署名が正しく検証されない脆弱性
CERT/CC Vulnerability Note VU#845620:
Multiple RSA implementations fail to properly handle signatures
CVE-2006-4339:
更新情報
- 2011/07/14
- UNIVERGE IP8800シリーズを削除しました。
- 2007/11/14
- ページをリニューアル。
- 2007/03/30
- PKIサーバ/Carassuitに対象となる製品のバージョンを追加しました。
- SecureWare/PKIアプリケーション開発キットに対象となる製品のバージョンを追加しました。
- SecureWare/電子署名開発キットに対象となる製品のバージョンを追加しました。
- 2006/12/28
- EnterpriseDirectoryServerを登録しました。
- PKIサーバ/Carassuitを登録しました。
- SecureWare/PKIアプリケーション開発キットを登録しました。
- SecureWare/電子署名開発キットを登録しました。
- SecureWare/セキュリティパックを登録しました。
- UNIVERGE IP8800シリーズを登録しました。
