Japan
サイト内の現在位置を表示しています。
OpenSSL に複数の脆弱性
掲載番号:NV17-011
脆弱性情報識別番号:JVNVU#92830136
概要
OpenSSL は、次に挙げる脆弱性を修正したアップデートをリリースしました。
- CVE-2017-3731: 細工された(Truncated) パケットが、範囲外 (out-of-bounds) の読み込みを通じてクラッシュする可能性
- CVE-2017-3730: 不正な (EC)DHE パラメータによりクライアントがクラッシュする可能性
- CVE-2017-3732: BN_mod_exp 関数処理の x86_64 環境での誤り
- CVE-2016-7055: モンゴメリ乗算処理の誤り
対象製品
CSVIEW
影響の有無
影響あり
対象となる製品のバージョン
- CSVIEW/FAQナビ: V5.5.1で CVE-2017-3732 の影響を受けます。
- CSVIEW/Webアンケート: 全バージョンで影響を受けません。
対処方法
[対策]
次のバージョンのリビジョンアップ媒体で対応完了しています。
- CSVIEW/FAQナビ V5.5 リビジョンアップ媒体 (V5.5.2)
次のバージョンのリビジョンアップ媒体で対応完了しています。
- CSVIEW/FAQナビ V5.5 リビジョンアップ媒体 (V5.5.2)
リビジョンアップ媒体につきましては、弊社営業にお問い合わせください。
EnterpriseDirectoryServer
影響の有無
影響あり
本製品に同梱する OpenSSL 1.0.2 を利用している場合に、CVE-2017-3731、CVE-2017-3732、CVE-2016-7055 の影響があります。
OpenSSL のバージョンは下記で確認可能です。
本製品に同梱する OpenSSL 1.0.2 を利用している場合に、CVE-2017-3731、CVE-2017-3732、CVE-2016-7055 の影響があります。
OpenSSL のバージョンは下記で確認可能です。
- Linux: /opt/nec/eds/bin/openssl version
- Windows: "C:\Program Files\EDS\BIN\openssl.exe" version
対象となる製品のバージョン
- 全バージョン
対処方法
ESMPRO/ServerAgent
影響の有無
影響あり
エクスプレス通報(HTTPS経由)を利用して通報を送信する際、情報が漏えいしたり、プロセスが停止する可能性があります。
エクスプレス通報(HTTPS経由)を利用して通報を送信する際、情報が漏えいしたり、プロセスが停止する可能性があります。
対象となる製品のバージョン
- Linux版 ESMPRO/ServerAgent 4.4.22-1以降
対処方法
[対策]
Red Hat カスタマーポータルから、脆弱性が解消されたOpenSSLへのアップデートを行ってください。
ESMPRO/ServerAgentService
影響の有無
影響あり
エクスプレス通報(HTTPS経由)を利用して通報を送信する際、情報が漏えいしたり、プロセスが停止する可能性があります。
エクスプレス通報(HTTPS経由)を利用して通報を送信する際、情報が漏えいしたり、プロセスが停止する可能性があります。
対象となる製品のバージョン
- Linux版 ESMPRO/ServerAgentService 全バージョン
対処方法
[対策]
Red Hat カスタマーポータルから、脆弱性が解消されたOpenSSLへのアップデートを行ってください。
Express5800/SG
影響の有無
影響あり
対象となる製品のバージョン
- 全バージョン
対処方法
[対策]
下記のリンク先情報を参考にパッチ適用をお願いいたします。
https://www.support.nec.co.jp/View.aspx?id=9010106953
詳細については弊社営業へお問い合わせください。
https://www.support.nec.co.jp/View.aspx?id=9010106953
詳細については弊社営業へお問い合わせください。
SystemDirector Enterprise
影響の有無
影響あり
対象となる製品のバージョン
- SystemDirector Enterprise for Java(全モデル) V5.1~V7.2
対処方法
[対策]
SystemDirector Enterprise for Java V8.0 以降にバージョンアップしてください。
バージョンアップの詳細につきましては弊社営業にお問い合わせください。
バージョンアップの詳細につきましては弊社営業にお問い合わせください。
[回避策]
以下の手順で SVN クライアントを OpenSSL を利用する JavaHL から SVNKit へ変更します。
- Eclipse の「ウィンドウ」メニューから「設定」を選択する。
- 設定画面で「チーム」->「SVN」を選択する。
- SVN インターフェイスが「JavaHL (JNI) <バージョン情報>」だった場合、「SVNkit(Pure Java) SVNKit <バージョン情報>」を選択して「OK」ボタンを押す。
WebOTX
影響の有無
影響あり
OpenSSL 1.0.1および、1.0.2に対応したパッチモジュールを適用している場合に影響を受ける可能性があります。
OpenSSL 1.0.1および、1.0.2に対応したパッチモジュールを適用している場合に影響を受ける可能性があります。
対象となる製品のバージョン
- WebOTX Application Server Express V8.2~V9.4 (※)
- WebOTX Application Server Foundation V8.2~V8.5
- WebOTX Application Server Standard V8.2~V9.4
- WebOTX Application Server Enterprise V8.2~V9.4
- WebOTX Enterprise Service Bus V8.2~V8.5
- WebOTX Portal V8.2~V9.1
(※) WebOTX Enterprise Service Bus V9.2~V9.3、および、 WebOTX Portal V9.3に同梱されている WebOTX Application Server Expressを使用している場合にも該当します。
対処方法
[対策]
今後、より重要度の高い脆弱性が検出された場合に、本脆弱性をあわせて修正したパッチをリリースする予定です。
詳細は下記をご参照ください。
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=3010101975
詳細は下記をご参照ください。
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=3010101975
WebSAM JobCenter
影響の有無
影響あり
対象となる製品のバージョン
- WebSAM JobCenter R14.1
- WebSAM JobCenter R14.2
上記バージョンで、OpenSSL 1.0.1sを利用して「拡張カスタムジョブ」を利用してる場合のみ影響を受けます。
対処方法
[対策]
次のページにて本脆弱性に対応した修正モジュールを公開しています。
なお、修正モジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。
・R14.1向け
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010104074
・R14.2向け
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010104656
なお、修正モジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。
・R14.1向け
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010104074
・R14.2向け
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010104656
参考情報
Japan Vulnerability Notes JVNVU#92830136:
OpenSSL に複数の脆弱性
https://jvn.jp/vu/JVNVU92830136/
CVE-2017-3731, CVE-2017-3730, CVE-2017-3732, CVE-2016-7055:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3731
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3730
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3732
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-7055
更新情報
- 2019/09/12
- 2018/11/06
- 2018/02/05
- 2017/09/29
- 2017/07/21