Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

OpenSSLに複数の脆弱性

掲載番号:NV15-010
脆弱性情報識別番号:JVNVU#91445763

概要

OpenSSLには複数の脆弱性が存在します。

  • CVE-2014-8176
ssl/d1_lib.cのdtls1_clear_queues関数は、ChangeCipherSpecメッセージと
Finishedメッセージとの間で到着可能なアプリケーションのデータを考慮する
ことなしに、データ構造を解放するため、攻撃者によってサービス運用妨害
(メモリ破損およびアプリケーションクラッシュ)状態にされるなどの脆弱性が
存在します。

  • CVE-2015-1788
crypto/bn/bn_gf2m.cのBN_GF2m_mod_inv関数は、曲線が不正な形式の
バイナリ多項式フィールド上のあるECParameters構造を適切に処理しない
ため、攻撃者によってサービス運用妨害(無限ループ)状態にされる脆弱性が
存在します。

  • CVE-2015-1789
crypto/x509/x509_vfy.cのX509_cmp_time関数には、攻撃者によって
サービス運用妨害(out-of-bounds readおよびアプリケーションクラッシュ)
状態にされる脆弱性が存在します。

  • CVE-2015-1790
crypto/pkcs7/pk7_doit.cのPKCS7_dataDecode関数には、攻撃者によって
サービス運用妨害(NULLポインタデリファレンスおよびアプリケーションクラッシュ)
状態にされる脆弱性が存在します。

  • CVE-2015-1791
ssl/s3_clnt.cのssl3_get_new_session_ticket関数には、マルチスレッドクライアント
のために使用された場合、競合状態により、サービス運用妨害(二重解放および
アプリケーションクラッシュ)状態にされるなどの脆弱性が存在します。

  • CVE-2015-1792
crypto/cms/cms_smime.cのdo_free_upto関数には、signedDataメッセージの処理
に脆弱性が存在します。
攻撃者によって細工されたsignedDataメッセージを処理することでサービス運用妨害
(無限ループ)状態にされる可能性があります。

  • CVE-2015-4000
OpenSSLには、DH鍵交換において512bitの弱い輸出鍵にダウングレードさせられる
脆弱性があります。
攻撃者によって中間者攻撃を受けて通信内容を解読される可能性があります。
これは「Logjam攻撃」とも呼ばれています。

対象製品

CapsSuite

影響の有無

影響あり

対象となる製品のバージョン

CapsSuite V3.0~V4.0 のマネージャコンポーネント

詳細は下記のリンク先情報にてご確認ください。
http://www.support.nec.co.jp/View.aspx?NoClear=on&id=3150110905

対処方法

[対策]
最新バージョン(V5.1) にバージョンアップする。

EnterpriseDirectoryServer

影響の有無

影響あり

対象となる製品のバージョン

EnterpriseDirectoryServer(以下、EDS) Ver6.0, 6.1, 7.0, 7.1, 8.0

各脆弱性に対する影響を受けるバージョンは下記の通り。

  • CVE-2014-8176、CVE-2015-1790、CVE-2015-1792
    各バージョンとも影響なし。

  • CVE-2015-1788、CVE-2015-1793
    EDS Ver8.0 のみ影響あり。

  • CVE-2015-1789
    EDS サーバは、SSL クライアント認証を行っている場合のみ影響あり。
    EDS クライアント(コマンドなど)は、EDS クライアントから EDS 以外のサーバに SSL で接続する場合のみ影響あり。

  • CVE-2015-1791
    ユーザ作成のアプリケーションが libldap からマルチスレッドで TLS/SSL を利用する場合は、ユーザ作成アプリケーションに影響あり。

  • CVE-2015-4000
    EDS Ver7.1 以前は影響あり。ただしCipherSuteに !EXPORT を含めた設定にしてある場合は影響なし。


対処方法

[対策]
下記のパッチを適用することで対処できます。
http://www.support.nec.co.jp/View.aspx?id=9010104518

EnterpriseIdentityManager

影響の有無

影響あり

本製品に同梱する EnterpriseDirectoryServer で SSL/TLS 通信している場合は本脆弱性の影響があります。

対象となる製品のバージョン

  • EnterpriseIdentityManager Ver2.0以降

 

対処方法

[対策]
EnterpriseDirectoryServer で SSL/TLS 通信している場合は、EnterpriseDirectoryServer の修正版を取得して適用してください。
詳細はPPサポートまでお問い合わせください。

Express5800/SG

影響の有無

    影響あり

対象となる製品のバージョン

  • UNIVERGE SG3000LG/LJ
  • SG3600LM/LG/LJ v6.1,v6.2,v7.0,v7.1,v8.0
  • InterSecVM/SG v1.2,v3.0,v3.1,v4.0

対処方法

[対策]
下記のバージョンのパッチをリリースしています。
  • mp10006xx.pkg
  • mp10007xx.pkg
  • mp10008xx.pkg

下記のリンク先情報を参考にパッチ適用をお願いいたします。
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010104421

詳細については弊社営業へお問い合わせください。

IP38Xシリーズ

影響の有無

    影響あり

    CVE-2015-1789とCVE-2015-4000の影響を受けます。

    (1) CVE-2015-1789
    IP38Xシリーズの、IKEv2で使用するIPsec/IKE デジタル署名、EAP-MD5認証機能が
    この脆弱性の影響を受けます。
    この脆弱性が発現した場合には、再起動する可能性があります。

    IPsec/IKE デジタル署名、EAP-MD5認証
    http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/ike2_pki.html

    なお、IPsecを使用しない場合、あるいは、IPsecでIKEv2を使用しない場合は、
    本脆弱性の影響を受けません。
    また、工場出荷状態では、IKEv2を使用しません。

    (2) CVE-2015-4000
    IP38X/N500のONFSミラーリング機能がこの脆弱性の影響を受け、中間者攻撃者により、
    暗号強度の弱い暗号アルゴリズムを選択させられる可能性があります。

    ONFSミラーリング
    http://www.rtpro.yamaha.co.jp/RT/docs/onfs/onfs_mirroring.html

    なお、ONFSミラーリング機能が無効の場合は、本脆弱性の影響を受けません。
    また、工場出荷状態ではONFSミラーリング機能は無効になっています。

対象となる製品のバージョン

(1) CVE-2015-1789の対象となる製品のバージョン
装置シリーズ名 バージョン
IP38X/1210 全てのリビジョン
IP38X/5000 全てのリビジョン
IP38X/3500 全てのリビジョン
IP38X/FW120 全てのリビジョン
IP38X/810 全てのリビジョン
IP38X/1200 Rev.10.01.22以降
IP38X/3000 Rev.9.00.50以降
(2) CVE-2015-4000の対象となる製品のバージョン
装置シリーズ名 バージョン
IP38X/N500 全てのリビジョン

対処方法

[対策]
(1) CVE-2015-1789の対策
この脆弱性への対策をした以下のファームウェアへのリビジョンアップをお願いします。
装置シリーズ名 ファームウェア対応状況
IP38X/1210 順次リリース予定
IP38X/5000 順次リリース予定
IP38X/3500 順次リリース予定
IP38X/FW120 Rev.11.03.13
IP38X/810 順次リリース予定
IP38X/1200 順次リリース予定
IP38X/3000 順次リリース予定

(2) CVE-2015-4000の対策
この脆弱性への対策をしたファームウェアのリリースを予定しています。
対策済みファームウェアへのリビジョンアップをお願いします。
装置シリーズ名 ファームウェア対応状況
IP38X/N500 順次リリース予定

[回避策]
(1) CVE-2015-1789の回避策
IPsecでIKEv2を使用する場合は、認証方式に「事前共有鍵方式」を使用してください。

コマンド:
ipsec ike auth method GATEWAY pre-shared-key

(2) CVE-2015-4000の回避策
ONFSミラーリング機能をWeb設定画面もしくはコマンドで無効にしてください。

Web設定画面:
[詳細設定と情報]
→[ファイル共有/同期の設定]
→[ファイル同期の設定]
→[使用しない]を選択して[設定の確定]を押す
コマンド:
onfs mirroring use off

iStorage HSシリーズ

影響の有無

影響あり

対象となる製品のバージョン

  • 全バージョン

対処方法

修正物件 P4.4.1-N002 を適用する(Ver 4.4.1 をご利用の場合)。

修正物件の詳細につきましては弊社営業にお問合せください。

iStorage NVシリーズ

影響の有無

影響あり

対象となる製品のバージョン

  • NV7500/NV5500/NV3500シリーズ
  • NV7400/NV5400/NV3400シリーズ

対処方法

[対策]
以下のURLでパッチを公開しています。

http://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010104104

パッチは保守契約を結んでいただいたお客様に限定して提供させていただいています。

IX1000/IX2000/IX3000シリーズ

影響の有無

    影響あり

対象となる製品のバージョン

  • IX2010
バージョン 影響内容
ver.8.2.19~8.3.49 ファームウェアアップデート機能で影響を受けます。

  • IX2005
バージョン
 影響内容
ver.8.2.19~8.9.21A ゼロコンフィグ機能で影響を受けます。
ファームウェアアップデート機能で影響を受けます。
ver.8.8.22~8.9.21A ダイナミックDNS機能で影響を受けます。
装置起動時の自動コンフィグダウンロード機能で影響を受けます。
装置起動時の自動ファームウェアアップデート機能で影響を受けます。
ver.8.7.22~8.9.21A IKEv2で利用するCA証明書の装置登録で影響を受けます。
SSHサーバ機能で影響を受けます。

  • IX2025
バージョン 影響内容
ver.8.3.8~9.1.10 ゼロコンフィグ機能で影響を受けます。
ファームウェアアップデート機能で影響を受けます。
ver.8.8.22~9.1.10 ダイナミックDNS機能で影響を受けます。
装置起動時の自動コンフィグダウンロード機能で影響を受けます。
装置起動時の自動ファームウェアアップデート機能で影響を受けます。
ver.8.7.22~9.1.10 IKEv2で利用するCA証明書の装置登録で影響を受けます。
SSHサーバ機能で影響を受けます。

  • IX2105
バージョン 影響内容
ver.8.5.21~9.1.10 ゼロコンフィグ機能で影響を受けます。
ファームウェアアップデート機能で影響を受けます。
ver.8.8.22~9.1.10 ダイナミックDNS機能で影響を受けます。
装置起動時の自動コンフィグダウンロード機能で影響を受けます。
装置起動時の自動ファームウェアアップデート機能で影響を受けます。
ver.8.7.22~9.1.10 IKEv2で利用するCA証明書の装置登録で影響を受けます。
SSHサーバ機能で影響を受けます。

  • IX2207
バージョン 影響内容
ver.9.0.14~9.1.10 ファームウェアアップデート機能で影響を受けます。
ダイナミックDNS機能で影響を受けます。
装置起動時の自動コンフィグダウンロード機能で影響を受けます。
装置起動時の自動ファームウェアアップデート機能で影響を受けます。
IKEv2で利用するCA証明書の装置登録で影響を受けます。
SSHサーバ機能で影響を受けます。

  • IX2215
バージョン 影響内容
ver.8.8.22~9.1.10 ゼロコンフィグ機能で影響を受けます。
ファームウェアアップデート機能で影響を受けます。
ダイナミックDNS機能で影響を受けます。
装置起動時の自動コンフィグダウンロード機能で影響を受けます。
装置起動時の自動ファームウェアアップデート機能で影響を受けます。
IKEv2で利用するCA証明書の装置登録で影響を受けます。
SSHサーバ機能で影響を受けます。

  • IX3010
バージョン 影響内容
ver.8.2.19~9.1.10 ファームウェアアップデート機能で影響を受けます。
ver.8.8.22~9.1.10 ダイナミックDNS機能で影響を受けます。
装置起動時の自動コンフィグダウンロード機能で影響を受けます。
装置起動時の自動ファームウェアアップデート機能で影響を受けます。
ver.8.7.22~9.1.10 IKEv2で利用するCA証明書の装置登録で影響を受けます。
SSHサーバ機能で影響を受けます。

  • IX3015
バージョン 影響内容
ver.9.1.10 ゼロコンフィグ機能で影響を受けます。
ファームウェアアップデート機能で影響を受けます。
ダイナミックDNS機能で影響を受けます。
装置起動時の自動コンフィグダウンロード機能で影響を受けます。
装置起動時の自動ファームウェアアップデート機能で影響を受けます。
IKEv2で利用するCA証明書の装置登録で影響を受けます。
SSHサーバ機能で影響を受けます。

  • IX3110
バージョン
 影響内容
ver.8.2.19~9.1.10 ゼロコンフィグ機能で影響を受けます。
ファームウェアアップデート機能で影響を受けます。
ver.8.8.22~9.1.10 ダイナミックDNS機能で影響を受けます。
装置起動時の自動コンフィグダウンロード機能で影響を受けます。
装置起動時の自動ファームウェアアップデート機能で影響を受けます。
ver.8.7.22~9.1.10 IKEv2で利用するCA証明書の装置登録で影響を受けます。
SSHサーバ機能で影響を受けます。

対処方法

[対策]
修正ソフトウェア、または、保守用ソフトウェアへのバージョンアップ

  • IX2105, IX2207, IX2025, IX2215, IX3015, IX3110
修正ソフトウェア ver.9.2.20以降
保守用ソフトウェア ver.9.1.11以降

  • IX3010
修正ソフトウェア リリース対象外
保守用ソフトウェア ver.9.1.11以降

[回避策]
  • ゼロコンフィグ機能
ARMSプロキシサーバの本脆弱性を排除する。
輸出グレードの暗号のサポート、Diffie-Hellman鍵交換の768bit以下のサポート、
サーバ/クライアント機能双方で使用不能にすることで、脆弱性を排除できます。

  • ダイナミックDNS機能
  • ファームウェアアップデート機能
  • 装置起動時の自動ファームウェアアップデート機能
  • 装置起動時の自動コンフィグダウンロード機能
  • CA証明書のインポート機能
接続先サーバの本脆弱性を排除する。
輸出グレードの暗号のサポート、Diffie-Hellman鍵交換の768bit以下のサポート、
サーバ機能で使用不能にすることで、脆弱性を排除できます。
※ サーバ接続にHTTPSを使用しないことにより、本脆弱性の回避は可能ですが、
HTTPは通信が暗号化されないため、HTTPSのままでご利用いただく方がデータを解読されるリスクは低くなります。

  • SSHサーバ機能
接続元のクライアントの本脆弱性を排除する。
輸出グレードの暗号のサポート、Diffie-Hellman鍵交換の768bit以下のサポート、
クライアント機能で使用不能にすることで、脆弱性を排除できます。

SecureWare/PKIアプリケーション開発キット

影響の有無

影響あり

対象となる製品のバージョン

  • SecureWare/PKIアプリケーション開発キット Ver3.0、3.01、3.02、3.1

対処方法

[対策]
SecureWare/PKIアプリケーション開発キット Ver3.2 以降にバージョンアップしてください。
バージョンアップの詳細につきましては弊社営業にお問い合わせください。

SystemDirector Enterprise

影響の有無

影響あり

Eclipse の Subclipse を利用して Subversion クライアントに JavaHL が設定された状態でSubversion サーバと通信を行った場合に、サーバとクライアント間の SSL/TLS 通信が中間者攻撃によって解読されたり、改ざんされたりする可能性があります。

対象となる製品のバージョン

  • SystemDirector Enterprise for Java(全モデル) V5.1~V7.2

 

対処方法

[対策]
SystemDirector Enterprise for Java V8.0 以降にバージョンアップしてください。
バージョンアップの詳細につきましては弊社営業にお問い合わせください。

[回避策]
以下の手順で SVN クライアントを OpenSSL を利用する JavaHL から SVNKit へ変更します。
  1. Eclipse の「ウィンドウ」メニューから「設定」を選択する。
  2. 設定画面で「チーム」->「SVN」を選択する。
  3. SVN インターフェイスが「JavaHL (JNI) <バージョン情報>」だった場合、「SVNkit(Pure Java) SVNKit <バージョン情報>」を選択して「OK」ボタンを押す。

UNIVERGE 3C

影響の有無

影響あり

対象となる製品のバージョン

  • UCM: V8.5.4以前
  • CMM: 全バージョン

対処方法

[対策]
  • UCM
V8.6.1以降にバージョンアップすることで対処できます。
詳細につきましては弊社営業にお問合せください。

  • CMM
Ubuntu をアップグレードすることで対処できます。
詳細につきましては弊社営業にお問合せください。

WebOTX

影響の有無

影響あり

対象となる製品のバージョン

  • WebOTX Web Edition V4.1~V6.5
  • WebOTX Standard-J Edition V4.1~V6.5
  • WebOTX Standard Edition V4.2~V6.5
  • WebOTX Enterprise Edition V4.2~V6.5
  • WebOTX Application Server Web Edition V7.1~V8.1
  • WebOTX Application Server Standard-J Edition V7.1~V8.1
  • WebOTX Application Server Standard Edition V7.1
  • WebOTX Application Server Enterprise Edition V7.1
  • WebOTX Application Server Express V8.2~V9.2
  • WebOTX Application Server Foundation V8.2~V8.5
  • WebOTX Application Server Standard V8.2~V9.2
  • WebOTX Application Server Enterprise V8.2~V9.2
  • WebOTX Enterprise Service Bus V6.4~V9.2
  • WebOTX SIP Application Server Standard Edition V7.1~V8.1
  • WebOTX Portal V8.2~V9.1
  • WebOTX UDDI Registry V1.1~V7.1

対処方法

[対策]
以下の URL から修正された OpenSSL 1.0.1p, 1.0.0s を取り込んだパッチモジュールを取得して適用してください。

WebOTX Webサーバ 2.4
http://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010103925

WebOTX Webサーバ 2.2
http://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010102290

WebSAM Application Navigator

影響の有無

影響あり

Agent、Manager、Probe Optionが影響を受けます。
Probe Optionでは、FTP/DNS/MAIL/TCP を監視している場合に影響があります。

対象となる製品のバージョン

  • Manager: Ver3.2.2 - Ver4.1
  • Agent: Ver3.3 - Ver4.1
  • Probe Option: Ver3.1.0.x - Ver4.1.0.x

WebSAM Application Navigator の View で、メニューバーの「ヘルプ(H)」-「バージョン情報(A)...」を選択し、表示されるバージョン情報を確認してください。

対処方法

[対策]
  • Manager、Agent:
WebSAM Application Navigator Ver4.2 で対応しています。
アップデートの詳細につきましては、弊社営業までお問い合わせください。

  • Probe Option:
「UW03A4-HT0A00 WebSAM Media 2015/10月版」 を入手し、以下の製品をアップデートしてください。

  • WebSAM Application Navigator Manager 4.1.1.1
  • WebSAM Application Navigator View 4.1.1.1
  • WebSAM Application Navigator Probe Agent 4.1.1.1

入手方法につきましては、弊社営業までお問い合わせください。

WebSAM JobCenter

影響の有無

影響あり

対象となる製品のバージョン

  • WebSAM JobCenter R14.1

 

対処方法

[対策]
次のページにて本脆弱性に対応した修正モジュールを公開しています。
なお、修正モジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。

https://www.support.nec.co.jp/View.aspx?id=9010104074

WebSAM MCOperations

影響の有無

影響あり

対象となる製品のバージョン

  • Ver3.6.2 - Ver4.2

対処方法

[対策]
Ver4.3 以降にバージョンアップをお願いします。
バージョンアップにつきましては、保守契約を締結した後、バージョンアップ申請を行っていただく必要があります。
不明点は弊社営業までご相談ください。

また、バージョンアップ手順につきましては、製品付属のリリースメモをご参照ください。


WebSAM SystemManager

影響の有無

影響あり

対象となる製品のバージョン

  • Ver5.5.2 - Ver6.2.1

対処方法

[対策]
Ver6.3 で対応を完了しています。
バージョンアップにつきましては、保守契約を締結した後、バージョンアップ申請を行っていただく必要があります。
不明点は弊社営業までご相談ください。

また、バージョンアップ手順につきましては、製品付属のリリースメモをご参照ください。


UNIVERGE PFシリーズ

影響の有無

影響あり

OpenFlow コントロールとの間で TLS を使った通信を行う場合、本脆弱性の影響を受ける可能性があります。

対象となる製品のバージョン

  • - PF5240:
    - V1.0.1.0
    - V2.0.0.2、V2.0.0.3
    - V3.0.0.0~V3.0.0.6
    - V4.0.0.0~V4.0.1.3
    - V5.0.0.1~V5.0.0.3
    - V5.1.0.0~V5.1.1.3
    - V6.0.0.0~V6.0.2.0
  • - PF5248:
    - V4.0.0.0~V4.0.1.3
    - V5.0.0.1~V5.0.0.3
    - V5.1.0.0~V5.1.1.3
    - V6.0.0.0~V6.0.2.0
  • - PF5220:
    - V4.0.0.0
    - V5.0.0.1
    - V5.1.0.0~V5.1.1.3
    - V6.0.0.0~V6.0.2.0
  • - PF5241:
    - V6.0.0.0~V6.0.1.1

 

対処方法

[対策]
次のバージョンのソフトウェアで対応完了しています。最新のバージョンにバージョンアップしてください。
- V5.1.1.4、V6.0.2.1
ソフトウェアの入手につきましては、販売店またはお近くの弊社営業拠点にご相談ください。

参考情報

更新情報

2020/12/18
UNIVERGE PFシリーズを登録しました。
2018/02/05
SystemDirector Enterpriseを登録しました。
2017/11/08
EnterpriseIdentityManager を登録しました。
2017/03/08
WebSAM JobCenter を登録しました。
2016/09/14
UNIVERGE 3C を登録しました。
2016/08/18
WebSAM Application Navigator を更新しました。
WebSAM MCOperations、WebSAM SystemManager を登録しました。
2016/07/08
CapsSuite、SecureWare/PKIアプリケーション開発キットを登録しました。
2016/06/20
EnterpriseDirectoryServer、Express5800/SG を登録しました。
2016/03/02
iStorage HSシリーズ、WebOTX を登録しました。
2016/01/29
iStorage NV シリーズを登録しました。
2016/01/20
WebSAM Application Navigator を登録しました。
2015/12/04
IX1000/IX2000/IX3000 シリーズを登録しました。
2015/10/21
IP38X シリーズを登録しました。