Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

OpenSSL に複数の脆弱性

掲載番号:NV17-020
脆弱性情報識別番号:JVNVU#90017300

概要

OpenSSL は、次に挙げる脆弱性を修正したアップデートをリリースしました。

  • 再ネゴシエーション時の Encrypt-Then-Mac 拡張の扱いに起因するサービス運用妨害 (DoS) の脆弱性 - CVE-2017-3733  (重要度:高)

 

対象製品

ESMPRO/ServerAgent

影響の有無

影響あり

エクスプレス通報(HTTPS経由)を利用して、通報を送信する際、暗号化に使用する鍵を特定される可能性があります。

対象となる製品のバージョン

  • Linux版 ESMPRO/ServerAgent 4.4.22-1以降

 

対処方法

[対策]
Red Hat カスタマーポータルから、脆弱性が解消されたOpenSSLへのアップデートを行ってください。

ESMPRO/ServerAgentService

影響の有無

影響あり

エクスプレス通報(HTTPS経由)を利用して、通報を送信する際、暗号化に使用する鍵を特定される可能性があります。

対象となる製品のバージョン

  • Linux版 ESMPRO/ServerAgentService 全バージョン

 

対処方法

[対策]
Red Hat カスタマーポータルから、脆弱性が解消されたOpenSSLへのアップデートを行ってください。

SystemDirector Enterprise

影響の有無

影響あり

対象となる製品のバージョン

  • SystemDirector Enterprise for Java(全モデル) V5.1~V7.2

 

対処方法

[対策]
SystemDirector Enterprise for Java V8.0 以降にバージョンアップしてください。
バージョンアップの詳細につきましては弊社営業にお問い合わせください。

[回避策]
以下の手順で SVN クライアントを OpenSSL を利用する JavaHL から SVNKit へ変更します。
  1. Eclipse の「ウィンドウ」メニューから「設定」を選択する。
  2. 設定画面で「チーム」->「SVN」を選択する。
  3. SVN インターフェイスが「JavaHL (JNI) <バージョン情報>」だった場合、「SVNkit(Pure Java) SVNKit <バージョン情報>」を選択して「OK」ボタンを押す。

参考情報

Japan Vulnerability Notes JVNVU#90017300:
OpenSSL に複数の脆弱性
https://jvn.jp/vu/JVNVU92830136/

CVE-2017-3733:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3733

更新情報

2018/02/05
SystemDirector Enterprise を登録しました。
2017/09/29
ESMPRO/ServerAgent, ESMPRO/ServerAgentService を登録しました。