Japan
サイト内の現在位置を表示しています。
OpenSSL に複数の脆弱性
掲載番号:NV18-010
脆弱性情報識別番号:JVNVU#93502675
概要
OpenSSL には複数の脆弱性が存在します。
・深刻度 - 中 (Severity: Moderate)
Incorrect CRYPTO_memcmp on HP-UX PA-RISC (CVE-2018-0733)
Constructed ASN.1 types with a recursive definition could exceed the stack (CVE-2018-0739)
・深刻度 - 低 (Severity: Low)
rsaz_1024_mul_avx2 overflow bug on x86_64 (CVE-2017-3738)
想定される影響は各脆弱性により異なりますが、サービス運用妨害 (DoS) 攻撃を受けるなどの可能性があります。
対象製品
EnterpriseDirectoryServer
影響の有無
影響あり
EnterpriseDirectoryServer ではオプション製品「SSL オプション」にOpenSSL モジュールを使用しており、SSL オプションをインストールしたサーバについて影響を受ける場合がございます。
SSL オプションの導入有無は以下でご確認いただけます。
・Linux
# rpm -qa | grep -i eds-ssl
実行結果、「eds-ssl-X.Y-Z_xxx」が表示される場合 SSLオプションがインストールされています。
X.Yはバージョン番号(7.1/8.0/8.1/8.2のいずれか)、Zはリビジョン番号です。
・Windows
> dir "%PERCIOROOT%\bin" | findstr /i ssleay32.dll
実行結果に「ssleay32.dll」が表示される場合、SSLオプションがインストールされています。
対象となる製品のバージョン
- EnterpriseDirectoryServer 7.1
- EnterpriseDirectoryServer 8.0
- EnterpriseDirectoryServer 8.1
- EnterpriseDirectoryServer 8.2
対処方法
脆弱性が修正された OpenSSL モジュールへのアップデートパッチをリリースしております。
下記ページにて詳細な情報を公開しております
https://support.pf.nec.co.jp/View.aspx?id=9010107716
下記ページにて詳細な情報を公開しております
https://support.pf.nec.co.jp/View.aspx?id=9010107716
エッジゲートウェイ
影響の有無
影響あり
対象となる製品のバージョン
すべてのバージョン
対処方法
[対策]
OpenSSL を「openssl 1.0.1t-1+deb8u8」にアップデートしてください。
SecureWare/Credential Lifecycle Manager
影響の有無
影響あり
対象となる製品のバージョン
SecureWare/Credential Lifecycle Manager V1.0
対処方法
[対策]
対処方法については弊社営業へお問い合わせください。
SystemDirector Enterprise
影響の有無
影響あり
対象となる製品のバージョン
SystemDirector Enterprise for Java(全モデル) V5.1~V7.2
対処方法
[対策]
SystemDirector Enterprise for Java V8.0 以降にバージョンアップしてください。
バージョンアップの詳細につきましては弊社営業にお問い合わせください。
[回避策]
以下の手順で SVN クライアントを OpenSSL を利用する JavaHL から SVNKit へ
変更します。
1. Eclipse の「ウィンドウ」メニューから「設定」を選択する。
2. 設定画面で「チーム」->「SVN」を選択する。
3. SVN インターフェイスが「JavaHL (JNI) <バージョン情報>」だった場合、
「SVNkit(Pure Java) SVNKit <バージョン情報>」を選択して「OK」ボタンを押す。WebOTX
影響の有無
影響あり
OpenSSL 0.9.8 / 1.0.0 / 1.0.1 / 1.0.2 に対応したパッチモジュールを適用している場合に影響を受ける可能性があります。
対象となる製品のバージョン
影響は脆弱性の種類、製品やバージョンによって異なります。
詳細は「対処方法」に記載したページにてご確認ください。
対処方法
[対策]
下記ページにて詳細な情報を公開しております
[WebOTX] OpenSSLにおける複数の脆弱性(CVE-2018-0733, CVE-2018-0739,CVE-2017-3738)による影響と対策について
https://www.support.nec.co.jp/View.aspx?id=3010102411
[WebOTX] OpenSSLにおける複数の脆弱性(CVE-2018-0733, CVE-2018-0739,CVE-2017-3738)による影響と対策について
https://www.support.nec.co.jp/View.aspx?id=3010102411
Webブラウザプロテクター AE / Webコンテンツプロテクター AE
影響の有無
影響あり
対象となる製品のバージョン
すべてのバージョン
対処方法
[対策]
OpenSSL を 1.0.2o 以降にアップデートしてください。
EnterpriseIdentityManager
影響の有無
影響あり(EnterpriseIdentityManagerではなく、内部で使用しているSECUREMASTER/EnterpriseDirectoryServerに影響があります。)
対象となる製品のバージョン
すべてのバージョン
対処方法
[対策]
以下のページを参考にSECUREMASTER/EnterpriseDirectoryServerをアップデートしてください。
https://www.support.nec.co.jp/View.aspx?id=9010107716
※サポートポータルへのログインが必要です。
https://www.support.nec.co.jp/View.aspx?id=9010107716
※サポートポータルへのログインが必要です。
参考情報
Japan Vulnerability Notes JVNVU#93502675:
OpenSSL に複数の脆弱性
https://jvn.jp/vu/JVNVU93502675/
CVE-2017-3738, CVE-2018-0733, CVE-2018-0739
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3738
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0733
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0739
更新情報
- 2021/01/22
- 2018/11/06
- 2018/09/21
- 2018/05/31