Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

Site menu starts here.

Skip site menu.

End of site menu.

Displaying present location in the site.

Main content starts here.

NEC製品セキュリティ情報

OpenSSLにおける整数アンダーフローの脆弱性

掲載番号:NV13-002
脆弱性情報識別番号:CVE-2012-2333

概要

OpenSSLには、TLSまたはDTLSがCBC暗号化で使用される場合、整数アンダーフローの脆弱性が存在します。
第三者により、細工されたパケットを処理することによって、サービス運用妨害状態にされる可能性があります。

対象製品

WebOTX

影響の有無

あり

対象となる製品のバージョン

WebOTX R4.x/R5.x/R6.x/V7.1に含まれるWebサーバ 1.3
WebOTX R6.x/V7.1/V8.xに含まれるWebサーバ 2.0
WebOTX V8.2/V8.3/V8.4に含まれるWebサーバ 2.2

なお、WebOTX製品に含まれる Webサーバにおいて、SSL通信機能(HTTPS通信機能)を利用していない場合には、影響はありません。

対処方法

以下のURLでパッチモジュールを公開しています。

WebOTX R4.x/R5.x/R6.x/V7.1に含まれるWebサーバ 1.3
https://www.support.nec.co.jp/View.aspx?id=9010101927

WebOTX R6.x/V7.1/V8.xに含まれるWebサーバ 2.0
https://www.support.nec.co.jp/View.aspx?id=9010101893

WebOTX V8.2/V8.3に含まれるWebサーバ 2.2
https://www.support.nec.co.jp/View.aspx?id=9010101894

WebOTX V8.4に含まれるWebサーバ 2.2
https://www.support.nec.co.jp/View.aspx?id=9010101895

参考情報

JVN iPedia JVNDB-2012-002400:
OpenSSL における整数アンダーフローの脆弱性
http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-002400.html

CVE CVE-2012-2333:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2333

更新情報

2013/01/30: WebOTXを登録しました。