Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

OpenSSL に複数の脆弱性

掲載番号:NV18-010
脆弱性情報識別番号:JVNVU#93502675

概要

OpenSSL には複数の脆弱性が存在します。


・深刻度 - 中 (Severity: Moderate)
  Incorrect CRYPTO_memcmp on HP-UX PA-RISC (CVE-2018-0733)
  Constructed ASN.1 types with a recursive definition could exceed the stack (CVE-2018-0739)


・深刻度 - 低 (Severity: Low)
  rsaz_1024_mul_avx2 overflow bug on x86_64 (CVE-2017-3738)


想定される影響は各脆弱性により異なりますが、サービス運用妨害 (DoS) 攻撃を受けるなどの可能性があります。

対象製品

EnterpriseDirectoryServer

影響の有無

影響あり

 

  EnterpriseDirectoryServer ではオプション製品「SSL オプション」にOpenSSL モジュールを使用しており、SSL オプションをインストールしたサーバについて影響を受ける場合がございます。

  SSL オプションの導入有無は以下でご確認いただけます。

  ・Linux
    # rpm -qa | grep -i eds-ssl

    実行結果、「eds-ssl-X.Y-Z_xxx」が表示される場合 SSLオプションがインストールされています。
    X.Yはバージョン番号(7.1/8.0/8.1/8.2のいずれか)、Zはリビジョン番号です。

  ・Windows
    > dir "%PERCIOROOT%\bin" | findstr /i ssleay32.dll
 
    実行結果に「ssleay32.dll」が表示される場合、SSLオプションがインストールされています。

対象となる製品のバージョン

  • EnterpriseDirectoryServer 7.1
  • EnterpriseDirectoryServer 8.0
  • EnterpriseDirectoryServer 8.1
  • EnterpriseDirectoryServer 8.2

対処方法

脆弱性が修正された OpenSSL モジュールへのアップデートパッチをリリースしております。
下記ページにて詳細な情報を公開しております
http://support.pf.nec.co.jp/View.aspx?id=9010107716

エッジゲートウェイ

影響の有無

影響あり

対象となる製品のバージョン

すべてのバージョン

対処方法

[対策]
OpenSSL を「openssl 1.0.1t-1+deb8u8」にアップデートしてください。

SecureWare/Credential Lifecycle Manager

影響の有無

影響あり

対象となる製品のバージョン

SecureWare/Credential Lifecycle Manager V1.0

対処方法

[対策]
対処方法については弊社営業へお問い合わせください。

WebOTX

影響の有無

影響あり

OpenSSL 0.9.8 / 1.0.0 / 1.0.1 / 1.0.2 に対応したパッチモジュールを適用している場合に影響を受ける可能性があります。

対象となる製品のバージョン

 影響は脆弱性の種類、製品やバージョンによって異なります。
 詳細は「対処方法」に記載したページにてご確認ください。

対処方法

[対策]
下記ページにて詳細な情報を公開しております
  
[WebOTX] OpenSSLにおける複数の脆弱性(CVE-2018-0733, CVE-2018-0739,CVE-2017-3738)による影響と対策について
  http://www.support.nec.co.jp/View.aspx?id=3010102411

SystemDirector Enterprise

影響の有無

影響あり

 

対象となる製品のバージョン

SystemDirector Enterprise for Java(全モデル) V5.1~V7.2

対処方法

[対策]

  SystemDirector Enterprise for Java V8.0 以降にバージョンアップしてください。

  バージョンアップの詳細につきましては弊社営業にお問い合わせください。

 

[回避策]

  以下の手順で SVN クライアントを OpenSSL を利用する JavaHL から SVNKit
  変更します。

  

 1.  Eclipse の「ウィンドウ」メニューから「設定」を選択する。

    2.  設定画面で「チーム」->SVN」を選択する。

    3.  SVN インターフェイスが「JavaHL (JNI) <バージョン情報>」だった場合、

                「SVNkit(Pure Java) SVNKit <バージョン情報>」を選択して「OK」ボタンを押す。

参考情報

更新情報

2018/11/06
EnterpriseDirectoryServer を登録しました。
2018/09/21
SystemDirector Enterprise を登録しました。
2018/06/27
SecureWare/Credential Lifecycle Manager、WebOTX を登録しました。
2018/05/31
エッジゲートウェイ を登録しました。