掲載番号:NV15-010
脆弱性情報識別番号:JVNVU#91445763
概要
OpenSSLには複数の脆弱性が存在します。
ssl/d1_lib.cのdtls1_clear_queues関数は、ChangeCipherSpecメッセージと
Finishedメッセージとの間で到着可能なアプリケーションのデータを考慮する
ことなしに、データ構造を解放するため、攻撃者によってサービス運用妨害
(メモリ破損およびアプリケーションクラッシュ)状態にされるなどの脆弱性が
存在します。
crypto/bn/bn_gf2m.cのBN_GF2m_mod_inv関数は、曲線が不正な形式の
バイナリ多項式フィールド上のあるECParameters構造を適切に処理しない
ため、攻撃者によってサービス運用妨害(無限ループ)状態にされる脆弱性が
存在します。
crypto/x509/x509_vfy.cのX509_cmp_time関数には、攻撃者によって
サービス運用妨害(out-of-bounds readおよびアプリケーションクラッシュ)
状態にされる脆弱性が存在します。
crypto/pkcs7/pk7_doit.cのPKCS7_dataDecode関数には、攻撃者によって
サービス運用妨害(NULLポインタデリファレンスおよびアプリケーションクラッシュ)
状態にされる脆弱性が存在します。
ssl/s3_clnt.cのssl3_get_new_session_ticket関数には、マルチスレッドクライアント
のために使用された場合、競合状態により、サービス運用妨害(二重解放および
アプリケーションクラッシュ)状態にされるなどの脆弱性が存在します。
crypto/cms/cms_smime.cのdo_free_upto関数には、signedDataメッセージの処理
に脆弱性が存在します。
攻撃者によって細工されたsignedDataメッセージを処理することでサービス運用妨害
(無限ループ)状態にされる可能性があります。
OpenSSLには、DH鍵交換において512bitの弱い輸出鍵にダウングレードさせられる
脆弱性があります。
攻撃者によって中間者攻撃を受けて通信内容を解読される可能性があります。
これは「Logjam攻撃」とも呼ばれています。
対象製品
CapsSuite
影響の有無
対象となる製品のバージョン
対処方法
[対策]
最新バージョン(V5.1) にバージョンアップする。
EnterpriseDirectoryServer
影響の有無
対象となる製品のバージョン
EnterpriseDirectoryServer(以下、EDS) Ver6.0, 6.1, 7.0, 7.1, 8.0
各脆弱性に対する影響を受けるバージョンは下記の通り。
- CVE-2014-8176、CVE-2015-1790、CVE-2015-1792
各バージョンとも影響なし。
- CVE-2015-1788、CVE-2015-1793
EDS Ver8.0 のみ影響あり。
- CVE-2015-1789
EDS サーバは、SSL クライアント認証を行っている場合のみ影響あり。
EDS クライアント(コマンドなど)は、EDS クライアントから EDS 以外のサーバに SSL で接続する場合のみ影響あり。
- CVE-2015-1791
ユーザ作成のアプリケーションが libldap からマルチスレッドで TLS/SSL を利用する場合は、ユーザ作成アプリケーションに影響あり。
- CVE-2015-4000
EDS Ver7.1 以前は影響あり。ただしCipherSuteに !EXPORT を含めた設定にしてある場合は影響なし。
対処方法
EnterpriseIdentityManager
影響の有無
影響あり
本製品に同梱する EnterpriseDirectoryServer で SSL/TLS 通信している場合は本脆弱性の影響があります。
対象となる製品のバージョン
- EnterpriseIdentityManager Ver2.0以降
対処方法
[対策]
EnterpriseDirectoryServer で SSL/TLS 通信している場合は、EnterpriseDirectoryServer の修正版を取得して適用してください。
詳細はPPサポートまでお問い合わせください。
Express5800/SG
影響の有無
対象となる製品のバージョン
- UNIVERGE SG3000LG/LJ
- SG3600LM/LG/LJ v6.1,v6.2,v7.0,v7.1,v8.0
- InterSecVM/SG v1.2,v3.0,v3.1,v4.0
対処方法
IP38Xシリーズ
影響の有無
対象となる製品のバージョン
(1) CVE-2015-1789の対象となる製品のバージョン
装置シリーズ名 |
バージョン |
IP38X/1210 |
全てのリビジョン |
IP38X/5000 |
全てのリビジョン |
IP38X/3500 |
全てのリビジョン |
IP38X/FW120 |
全てのリビジョン |
IP38X/810 |
全てのリビジョン |
IP38X/1200 |
Rev.10.01.22以降 |
IP38X/3000 |
Rev.9.00.50以降 |
(2) CVE-2015-4000の対象となる製品のバージョン
装置シリーズ名 |
バージョン |
IP38X/N500 |
全てのリビジョン |
対処方法
[対策]
(1) CVE-2015-1789の対策
この脆弱性への対策をした以下のファームウェアへのリビジョンアップをお願いします。
装置シリーズ名 |
ファームウェア対応状況 |
IP38X/1210 |
順次リリース予定 |
IP38X/5000 |
順次リリース予定 |
IP38X/3500 |
順次リリース予定 |
IP38X/FW120 |
Rev.11.03.13 |
IP38X/810 |
順次リリース予定 |
IP38X/1200 |
順次リリース予定 |
IP38X/3000 |
順次リリース予定 |
(2) CVE-2015-4000の対策
この脆弱性への対策をしたファームウェアのリリースを予定しています。
対策済みファームウェアへのリビジョンアップをお願いします。
装置シリーズ名 |
ファームウェア対応状況 |
IP38X/N500 |
順次リリース予定 |
[回避策]
(1) CVE-2015-1789の回避策
IPsecでIKEv2を使用する場合は、認証方式に「事前共有鍵方式」を使用してください。
コマンド:
ipsec ike auth method GATEWAY pre-shared-key
|
(2) CVE-2015-4000の回避策
ONFSミラーリング機能をWeb設定画面もしくはコマンドで無効にしてください。
Web設定画面:
[詳細設定と情報] →[ファイル共有/同期の設定] →[ファイル同期の設定] →[使用しない]を選択して[設定の確定]を押す
|
コマンド:
iStorage HSシリーズ
影響の有無
対象となる製品のバージョン
対処方法
修正物件 P4.4.1-N002 を適用する(Ver 4.4.1 をご利用の場合)。
修正物件の詳細につきましては弊社営業にお問合せください。
iStorage NVシリーズ
影響の有無
対象となる製品のバージョン
- NV7500/NV5500/NV3500シリーズ
- NV7400/NV5400/NV3400シリーズ
対処方法
IX1000/IX2000/IX3000シリーズ
影響の有無
対象となる製品のバージョン
バージョン |
影響内容 |
ver.8.2.19~8.3.49 |
ファームウェアアップデート機能で影響を受けます。 |
バージョン
|
影響内容 |
ver.8.2.19~8.9.21A |
ゼロコンフィグ機能で影響を受けます。 ファームウェアアップデート機能で影響を受けます。
|
ver.8.8.22~8.9.21A |
ダイナミックDNS機能で影響を受けます。 装置起動時の自動コンフィグダウンロード機能で影響を受けます。 装置起動時の自動ファームウェアアップデート機能で影響を受けます。
|
ver.8.7.22~8.9.21A |
IKEv2で利用するCA証明書の装置登録で影響を受けます。 SSHサーバ機能で影響を受けます。
|
バージョン |
影響内容 |
ver.8.3.8~9.1.10 |
ゼロコンフィグ機能で影響を受けます。 ファームウェアアップデート機能で影響を受けます。
|
ver.8.8.22~9.1.10 |
ダイナミックDNS機能で影響を受けます。 装置起動時の自動コンフィグダウンロード機能で影響を受けます。 装置起動時の自動ファームウェアアップデート機能で影響を受けます。
|
ver.8.7.22~9.1.10 |
IKEv2で利用するCA証明書の装置登録で影響を受けます。 SSHサーバ機能で影響を受けます。
|
バージョン |
影響内容 |
ver.8.5.21~9.1.10 |
ゼロコンフィグ機能で影響を受けます。 ファームウェアアップデート機能で影響を受けます。 |
ver.8.8.22~9.1.10 |
ダイナミックDNS機能で影響を受けます。 装置起動時の自動コンフィグダウンロード機能で影響を受けます。 装置起動時の自動ファームウェアアップデート機能で影響を受けます。 |
ver.8.7.22~9.1.10 |
IKEv2で利用するCA証明書の装置登録で影響を受けます。 SSHサーバ機能で影響を受けます。 |
バージョン |
影響内容 |
ver.9.0.14~9.1.10 |
ファームウェアアップデート機能で影響を受けます。 ダイナミックDNS機能で影響を受けます。 装置起動時の自動コンフィグダウンロード機能で影響を受けます。 装置起動時の自動ファームウェアアップデート機能で影響を受けます。 IKEv2で利用するCA証明書の装置登録で影響を受けます。 SSHサーバ機能で影響を受けます。 |
バージョン |
影響内容 |
ver.8.8.22~9.1.10 |
ゼロコンフィグ機能で影響を受けます。 ファームウェアアップデート機能で影響を受けます。 ダイナミックDNS機能で影響を受けます。 装置起動時の自動コンフィグダウンロード機能で影響を受けます。 装置起動時の自動ファームウェアアップデート機能で影響を受けます。 IKEv2で利用するCA証明書の装置登録で影響を受けます。 SSHサーバ機能で影響を受けます。 |
バージョン |
影響内容 |
ver.8.2.19~9.1.10 |
ファームウェアアップデート機能で影響を受けます。 |
ver.8.8.22~9.1.10 |
ダイナミックDNS機能で影響を受けます。 装置起動時の自動コンフィグダウンロード機能で影響を受けます。 装置起動時の自動ファームウェアアップデート機能で影響を受けます。 |
ver.8.7.22~9.1.10 |
IKEv2で利用するCA証明書の装置登録で影響を受けます。 SSHサーバ機能で影響を受けます。 |
バージョン |
影響内容 |
ver.9.1.10 |
ゼロコンフィグ機能で影響を受けます。 ファームウェアアップデート機能で影響を受けます。 ダイナミックDNS機能で影響を受けます。 装置起動時の自動コンフィグダウンロード機能で影響を受けます。 装置起動時の自動ファームウェアアップデート機能で影響を受けます。 IKEv2で利用するCA証明書の装置登録で影響を受けます。 SSHサーバ機能で影響を受けます。 |
バージョン
|
影響内容 |
ver.8.2.19~9.1.10 |
ゼロコンフィグ機能で影響を受けます。 ファームウェアアップデート機能で影響を受けます。 |
ver.8.8.22~9.1.10 |
ダイナミックDNS機能で影響を受けます。 装置起動時の自動コンフィグダウンロード機能で影響を受けます。 装置起動時の自動ファームウェアアップデート機能で影響を受けます。 |
ver.8.7.22~9.1.10 |
IKEv2で利用するCA証明書の装置登録で影響を受けます。 SSHサーバ機能で影響を受けます。 |
対処方法
[対策]
修正ソフトウェア、または、保守用ソフトウェアへのバージョンアップ
- IX2105, IX2207, IX2025, IX2215, IX3015, IX3110
修正ソフトウェア ver.9.2.20以降
保守用ソフトウェア ver.9.1.11以降
修正ソフトウェア リリース対象外
保守用ソフトウェア ver.9.1.11以降
[回避策]
ARMSプロキシサーバの本脆弱性を排除する。
輸出グレードの暗号のサポート、Diffie-Hellman鍵交換の768bit以下のサポート、
サーバ/クライアント機能双方で使用不能にすることで、脆弱性を排除できます。
- ダイナミックDNS機能
- ファームウェアアップデート機能
- 装置起動時の自動ファームウェアアップデート機能
- 装置起動時の自動コンフィグダウンロード機能
- CA証明書のインポート機能
接続先サーバの本脆弱性を排除する。
輸出グレードの暗号のサポート、Diffie-Hellman鍵交換の768bit以下のサポート、
サーバ機能で使用不能にすることで、脆弱性を排除できます。
※ サーバ接続にHTTPSを使用しないことにより、本脆弱性の回避は可能ですが、
HTTPは通信が暗号化されないため、HTTPSのままでご利用いただく方がデータを解読されるリスクは低くなります。
接続元のクライアントの本脆弱性を排除する。
輸出グレードの暗号のサポート、Diffie-Hellman鍵交換の768bit以下のサポート、
クライアント機能で使用不能にすることで、脆弱性を排除できます。
SecureWare/PKIアプリケーション開発キット
影響の有無
対象となる製品のバージョン
- SecureWare/PKIアプリケーション開発キット Ver3.0、3.01、3.02、3.1
対処方法
[対策]
SecureWare/PKIアプリケーション開発キット Ver3.2 以降にバージョンアップしてください。
バージョンアップの詳細につきましては弊社営業にお問い合わせください。
SystemDirector Enterprise
影響の有無
影響あり
Eclipse の Subclipse を利用して Subversion クライアントに JavaHL が設定された状態でSubversion サーバと通信を行った場合に、サーバとクライアント間の SSL/TLS 通信が中間者攻撃によって解読されたり、改ざんされたりする可能性があります。
対象となる製品のバージョン
- SystemDirector Enterprise for Java(全モデル) V5.1~V7.2
対処方法
[対策]
SystemDirector Enterprise for Java V8.0 以降にバージョンアップしてください。
バージョンアップの詳細につきましては弊社営業にお問い合わせください。
[回避策]
以下の手順で SVN クライアントを OpenSSL を利用する JavaHL から SVNKit へ変更します。
- Eclipse の「ウィンドウ」メニューから「設定」を選択する。
- 設定画面で「チーム」->「SVN」を選択する。
- SVN インターフェイスが「JavaHL (JNI) <バージョン情報>」だった場合、「SVNkit(Pure Java) SVNKit <バージョン情報>」を選択して「OK」ボタンを押す。
UNIVERGE 3C
影響の有無
対象となる製品のバージョン
- UCM: V8.5.4以前
- CMM: 全バージョン
対処方法
[対策]
V8.6.1以降にバージョンアップすることで対処できます。
詳細につきましては弊社営業にお問合せください。
Ubuntu をアップグレードすることで対処できます。
詳細につきましては弊社営業にお問合せください。
WebOTX
影響の有無
対象となる製品のバージョン
- WebOTX Web Edition V4.1~V6.5
- WebOTX Standard-J Edition V4.1~V6.5
- WebOTX Standard Edition V4.2~V6.5
- WebOTX Enterprise Edition V4.2~V6.5
- WebOTX Application Server Web Edition V7.1~V8.1
- WebOTX Application Server Standard-J Edition V7.1~V8.1
- WebOTX Application Server Standard Edition V7.1
- WebOTX Application Server Enterprise Edition V7.1
- WebOTX Application Server Express V8.2~V9.2
- WebOTX Application Server Foundation V8.2~V8.5
- WebOTX Application Server Standard V8.2~V9.2
- WebOTX Application Server Enterprise V8.2~V9.2
- WebOTX Enterprise Service Bus V6.4~V9.2
- WebOTX SIP Application Server Standard Edition V7.1~V8.1
- WebOTX Portal V8.2~V9.1
- WebOTX UDDI Registry V1.1~V7.1
対処方法
WebSAM Application Navigator
影響の有無
影響あり
Agent、Manager、Probe Optionが影響を受けます。
Probe Optionでは、FTP/DNS/MAIL/TCP を監視している場合に影響があります。
対象となる製品のバージョン
- Manager: Ver3.2.2 - Ver4.1
- Agent: Ver3.3 - Ver4.1
- Probe Option: Ver3.1.0.x - Ver4.1.0.x
WebSAM Application Navigator の View で、メニューバーの「ヘルプ(H)」-「バージョン情報(A)...」を選択し、表示されるバージョン情報を確認してください。
対処方法
[対策]
WebSAM Application Navigator Ver4.2 で対応しています。
アップデートの詳細につきましては、弊社営業までお問い合わせください。
「UW03A4-HT0A00 WebSAM Media 2015/10月版」 を入手し、以下の製品をアップデートしてください。
- WebSAM Application Navigator Manager 4.1.1.1
- WebSAM Application Navigator View 4.1.1.1
- WebSAM Application Navigator Probe Agent 4.1.1.1
入手方法につきましては、弊社営業までお問い合わせください。
WebSAM JobCenter
影響の有無
対象となる製品のバージョン
対処方法
WebSAM MCOperations
影響の有無
対象となる製品のバージョン
対処方法
[対策]
Ver4.3 以降にバージョンアップをお願いします。
バージョンアップにつきましては、保守契約を締結した後、バージョンアップ申請を行っていただく必要があります。
不明点は弊社営業までご相談ください。
また、バージョンアップ手順につきましては、製品付属のリリースメモをご参照ください。
WebSAM SystemManager
影響の有無
対象となる製品のバージョン
対処方法
[対策]
Ver6.3 で対応を完了しています。
バージョンアップにつきましては、保守契約を締結した後、バージョンアップ申請を行っていただく必要があります。
不明点は弊社営業までご相談ください。
また、バージョンアップ手順につきましては、製品付属のリリースメモをご参照ください。
UNIVERGE PFシリーズ
影響の有無
影響あり
OpenFlow コントロールとの間で TLS を使った通信を行う場合、本脆弱性の影響を受ける可能性があります。
対象となる製品のバージョン
- - PF5240:
- V1.0.1.0
- V2.0.0.2、V2.0.0.3
- V3.0.0.0~V3.0.0.6
- V4.0.0.0~V4.0.1.3
- V5.0.0.1~V5.0.0.3
- V5.1.0.0~V5.1.1.3
- V6.0.0.0~V6.0.2.0
- - PF5248:
- V4.0.0.0~V4.0.1.3
- V5.0.0.1~V5.0.0.3
- V5.1.0.0~V5.1.1.3
- V6.0.0.0~V6.0.2.0
- - PF5220:
- V4.0.0.0
- V5.0.0.1
- V5.1.0.0~V5.1.1.3
- V6.0.0.0~V6.0.2.0
- - PF5241:
- V6.0.0.0~V6.0.1.1
対処方法
[対策]
次のバージョンのソフトウェアで対応完了しています。最新のバージョンにバージョンアップしてください。
- V5.1.1.4、V6.0.2.1
ソフトウェアの入手につきましては、販売店またはお近くの弊社営業拠点にご相談ください。