Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

OpenSSL に複数の脆弱性

掲載番号:NV17-009
脆弱性情報識別番号:JVNVU#92930223

概要

OpenSSL は、次の複数の脆弱性を修正したアップデートをリリースしました。
・ciphersuite ChaCha20/Poly1305 にヒープバッファオーバーフロー - CVE-2016-7054 (重要度:高)
・無効な CMS 構造の処理における NULL ポインタ参照の問題 - CVE-2016-7053 (重要度:中)
・モンゴメリ乗算処理の誤り - CVE-2016-7055 (重要度:低)

対象製品

EnterpriseDirectoryServer

影響の有無

影響あり

下記より提供されるEnterpriseDirectoryServer(以下、EDS) 同梱 OpenSSL 1.0.2 パッチを適用している場合に影響があります。
http://www.support.nec.co.jp/View.aspx?id=9010106735

対象となる製品のバージョン

  • 全バージョン

 

対処方法

[対策]
下記のパッチを適用することで対処できます。
http://www.support.nec.co.jp/View.aspx?id=9010106909

EnterpriseIdentityManager

影響の有無

影響あり

本製品に同梱する EnterpriseDirectoryServer(以下、EDS) で SSL/TLS 通信しており、かつ下記より提供されるEDS 同梱 OpenSSL 1.0.2 パッチを適用している場合に影響があります。
http://www.support.nec.co.jp/View.aspx?id=9010106735

対象となる製品のバージョン

  • EnterpriseIdentityManager Ver2.0以降

 

対処方法

[対策]
EnterpriseDirectoryServer で SSL/TLS 通信している場合は、EnterpriseDirectoryServer の修正版を、以下のURLから取得して適用してください。
http://www.support.nec.co.jp/View.aspx?id=9010106909

ESMPRO/ServerAgent

影響の有無

影響あり

エクスプレス通報(HTTPS経由)を利用して、通報を送信する際、影響を受ける可能性があります。

対象となる製品のバージョン

  • Linux版 ESMPRO/ServerAgent 4.4.22-1以降

 

対処方法

[対策]
OpenSSL を脆弱性に対処済みの最新版にアップデートしてください。

ESMPRO/ServerAgentService

影響の有無

影響あり

エクスプレス通報(HTTPS経由)を利用して、通報を送信する際、影響を受ける可能性があります。

対象となる製品のバージョン

  • Linux版 ESMPRO/ServerAgentService 全バージョン

 

対処方法

[対策]
OpenSSL を脆弱性に対処済みの最新版にアップデートしてください。

SystemDirector Enterprise

影響の有無

影響あり

脆弱性により影響は異なりますが、EclipseのSubclipseを利用してSubversionクライアントにJavaHLが設定された状態でSubversionサーバと通信を行った場合にサーバとクライアント間のSSL/TLS通信が、中間者攻撃によって解読されたり、改ざんされたりする可能性があります。

対象となる製品のバージョン

  • SystemDirector Enterprise for Java(全モデル) V5.1~V7.2

 

対処方法

[対策]
SystemDirector Enterprise for Java V8.0 以降にバージョンアップしてください。
バージョンアップの詳細につきましては弊社営業にお問い合わせください。

[回避策]
以下の手順で SVN クライアントを OpenSSL を利用する JavaHL から SVNKit へ変更します。
  1. Eclipse の「ウィンドウ」メニューから「設定」を選択する。
  2. 設定画面で「チーム」->「SVN」を選択する。
  3. SVN インターフェイスが「JavaHL (JNI) <バージョン情報>」だった場合、「SVNkit(Pure Java) SVNKit <バージョン情報>」を選択して「OK」ボタンを押す。

WebOTX

影響の有無

影響あり

対象となる製品のバージョン

  • WebOTX Application Server Express V8.2~V9.4
  • WebOTX Application Server Foundation V8.2~V8.5
  • WebOTX Application Server Standard V8.2~V9.4
  • WebOTX Application Server Enterprise V8.2~V9.4
  • WebOTX Enterprise Service Bus V8.2~V8.5
  • WebOTX Portal V8.2~V9.1

各製品のV8.2~V9.3は、OpenSSL 1.0.2 に対応したパッチモジュールを適用している場合に影響を受ける可能性があります。

 

対処方法

[対策]
今後、より重要度の高い脆弱性が検出された場合に、本脆弱性をあわせて修正したパッチをリリースする予定です。
詳細は下記をご参照ください。
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=3010101948

[回避策]
512bitの楕円曲線以外の暗号方法の証明書を利用してください。

参考情報

更新情報

2018/02/05
SystemDirector Enterprise を登録しました。
2017/09/29
EnterpriseDirectoryServer を登録しました。
2017/07/21
EnterpriseIdentityManager、WebOTX を登録しました。
2017/03/08
ESMPRO/ServerAgent、ESMPRO/ServerAgentService を登録しました。