Japan
サイト内の現在位置
OpenSSL に複数の脆弱性
掲載番号:NV19-011
脆弱性情報識別番号:JVNVU#94367039、CVE-2019-1547、CVE-2019-1549、CVE-2019-1563
概要
OpenSSLに複数の脆弱性が報告されています。
- ECDSA remote timing attack (CVE-2019-1547)
- Fork Protection (CVE-2019-1549)
- Padding Oracle in PKCS7_dataDecode and CMS_decrypt_set1_pkey (CVE-2019-1563)
影響を受けるバージョンは以下の通りです。
- OpenSSL 1.1.1
- OpenSSL 1.1.0
- OpenSSL 1.0.2
想定される影響は各脆弱性により異なりますが、機微な情報が窃取されるなどの可能性があります。
開発者が提供する情報をもとに、最新版へアップデートしてください。
修正バージョンは以下の通りです。
- OpenSSL 1.0.2t
- OpenSSL 1.1.0l
- OpenSSL 1.1.1d
対象製品
ESMPRO/ServerAgentService
影響の有無
影響あり
対象となる製品のバージョン
全バージョン
対処方法
使用しているシステムがクローズドでない場合は、アップデートによる影響がシステムにないかを確認したうえで最新版へアップデートしてください。
本脆弱性を修正したバージョンがリリースされています。
WebOTX
影響の有無
影響あり
対象となる製品のバージョン
WebOTX Application Server V9.4以降
対処方法
サポートページにてパッチモジュールが公開されています。テキストファイルを参照したうえで適用してください。
https://www.support.nec.co.jp/View.aspx?id=9010108643
SystemDirector Enterprise
影響の有無
影響あり
対象となる製品のバージョン
SystemDirector Enterprise for Java 全モデル V5.1~7.2
対処方法
- 以下の手順でSVNクライアントをOpenSSLを利用するJavaHLからSVNKitへ変更します。
1. Eclipseの「ウィンドウ」メニューから「設定」を選択する。
2. 設定画面で「チーム」->「SVN」を選択する。
3. SVNインターフェイスが「JavaHL (JNI) <バージョン情報>」だった場合、
「SVNkit(Pure Java) SVNKit <バージョン情報> 」を選択して「OK」ボタンを押す。
CONNEXIVE Platform
影響の有無
影響あり
対象となる製品のバージョン
V7.0
対処方法
CVE-2019-1547
ECDSAを利用する暗号スイートを無効化してください。無効化する方法は、次の通りです。
1. WebOTXインストールディレクトリ/domains/ドメイン名/config/WebServer/ssl.confを
テキストエディタで開きます。
2. SSLCipherSuiteディレクティブに、ECDSAを無効化する定義(!ECDSA)を追加するか、
または、ECDSAの暗号スイート定義を削除してください。
変更例)
SSLCipherSuite HIGH:MEDIUM:!MD5:!RC4:!ECDSA
3. Webサーバを再起動します。
otxadmin> invoke server.WebServer.stop
otxadmin> invoke server.WebServer.start
WitchyMail
影響の有無
影響あり
対象となる製品のバージョン
全バージョン
対処方法
影響を受けるOpenSSLを利用している場合はOS提供のパッチを適用してください。
エッジゲートウェイ
影響の有無
影響あり
対象となる製品のバージョン
FW Ver:20170824110000, 20181219082559
対処方法
以下のページを参照し、FW Ver.20191220082721にファームウェアアップデートを行ってください。
https://jpn.nec.com/products/edge/EGW_FWupdate.pdf
FC98-NXシリーズ
影響の有無
影響あり
対象となる製品のバージョン
FC-S35W/S22U/R20W MLV6 SP3: OpenSSL 1.0.0-27
FC-E23W/E37B/E22U MLV6 SP4: OpenSSL 1.0.1e-16
FC-R16Wカスタム装置 MLV6 SP7: Openssl-1.0.1e-57
FC-R24W/R16W/S36W/S37K/D28U MLV7 SP2: OpenSSL 1.0.2k-8
対処方法
本脆弱性を修正したバージョンがリリースされています。
使用しているシステムがクローズドでない場合は、アップデートによる影響がシステムにないかを確認したうえで最新版へアップデートしてください。
UNIVERGE WAシリーズ
影響の有無
影響あり
対象となる製品のバージョン
Ver8.2以前
対処方法
Ver8.3.9にアップデートしてください。
NEC Cyber Security Platform
影響の有無
影響あり
対象となる製品のバージョン
NCSPエージェント V1.0~V2.0.7.1、V2.1.0.0~V2.2.1.3
対処方法
V2.0.7.2、V3.0にて対処済みです。
参考情報
Japan Vulnerability Notes JVNVU#94367039
OpenSSL に複数の脆弱性
https://jvn.jp/vu/JVNVU94367039/
OpenSSL
Project OpenSSL Security Advisory [10 September 2019]
https://www.openssl.org/news/secadv/20190910.txt
CVE-2019-1547
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1547
CVE-2019-1549
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1549
CVE-2019-1563
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1563
更新情報
- 2022/04/15
-
NEC Cyber Security Platform を登録しました。
- 2021/06/18
-
UNIVERGE WAシリーズ を登録しました。
- 2020/12/18
-
FC98-NXシリーズ を登録しました。
- 2020/07/07
-
エッジゲートウェイ を登録しました。
- 2020/03/09
-
CONNEXIVE Platform、WitchyMail を登録しました。
- 2020/02/19
-
SystemDirector Enterprise を登録しました。
- 2019/11/20
-
ESMPRO/ServerAgentService、WebOTX を登録しました。