Japan
サイト内の現在位置を表示しています。
RSA 実装において署名が正しく検証されない脆弱性
掲載番号:NV6-007
脆弱性情報識別番号:VU#845620
概要
RSAを実装している複数のソフトウェアにおいて、署名が正しく検証されない脆弱性が存在します。
対象製品
EnterpriseDirectoryServer
影響の有無
影響あり
対象となる製品のバージョン
EnterpriseDirectoryServerの全バージョン
EDSに添付されたBuilt-in CA証明書をお使いの場合、RSA 署名で使用する RSA 公開鍵は exponent=65537 であるため影響を受けません。
対処方法
[対策]
既存バージョンについては、修正の予定はありませんが、次のバージョンについて対処を検討中です。
[回避策]
信頼できる相手のみを接続先として指定することで、信頼できない相手からの証明書を受け取ることはなくなるため、影響は限定的になります。
お問い合わせ先
e-mail:directory@cced.jp.nec.com
PKIサーバ/Carassuit検証サーバ
SecureWare/PKIアプリケーション開発キット
SecureWare/電子署名開発キット
SecureWare/セキュリティパック
影響の有無
影響あり
対象となる製品のバージョン
- PKIサーバ/Carassuit検証サーバ ver1.0
- PKIサーバ/Carassuit検証サーバ ver1.1
- SecureWare/PKIアプリケーション開発キット Ver2.0 SSLオプション
- SecureWare/電子署名開発キット Ver1.0 SSLオプション(Linux版)
- SecureWare/セキュリティパック
署名者の公開鍵はexponent=3であり、かつ、1050bit以上の鍵長を持つ場合に影響があります。
対処方法
[対策]
対応バージョンが必要な場合は製品窓口までお問い合わせ下さい。
UNIVERGE IP8800シリーズ
影響の有無
影響あり
IP8800/700は2011年6月30日を持ちましてサポートを終了しました。
※サポート終了前の掲載情報
対象となる製品のバージョン
IP8800/700 R7.3ed23以前
対処方法
[対策]
R7.3ed24にバージョンアップをしてください。
詳細は下記のソフトウェアリリース通知を参照して下さい。
http://www.nec.co.jp/octpower/
参考情報
Japan Vulnerability Notes JVNVU#845620:
複数の RSA 実装において署名が正しく検証されない脆弱性
CERT/CC Vulnerability Note VU#845620:
Multiple RSA implementations fail to properly handle signatures
CVE-2006-4339:
更新情報
- 2011/07/14
- 2007/11/14
-
ページをリニューアル。NEW
- 2007/03/30
- 2006/12/28