掲載番号:NV19-011
脆弱性情報識別番号:JVNVU#94367039、CVE-2019-1547、CVE-2019-1549、CVE-2019-1563

概要

OpenSSLに複数の脆弱性が報告されています。

- ECDSA remote timing attack (CVE-2019-1547)
- Fork Protection (CVE-2019-1549)
- Padding Oracle in PKCS7_dataDecode and CMS_decrypt_set1_pkey (CVE-2019-1563)
　
　影響を受けるバージョンは以下の通りです。
- OpenSSL 1.1.1
- OpenSSL 1.1.0
- OpenSSL 1.0.2

　想定される影響は各脆弱性により異なりますが、機微な情報が窃取されるなどの可能性があります。
　開発者が提供する情報をもとに、最新版へアップデートしてください。

　修正バージョンは以下の通りです。
- OpenSSL 1.0.2t
- OpenSSL 1.1.0l
- OpenSSL 1.1.1d

対象製品

ESMPRO/ServerAgentService

影響の有無

影響あり

対象となる製品のバージョン

全バージョン

対処方法

使用しているシステムがクローズドでない場合は、アップデートによる影響がシステムにないかを確認したうえで最新版へアップデートしてください。
本脆弱性を修正したバージョンがリリースされています。

WebOTX

影響の有無

影響あり

対象となる製品のバージョン

WebOTX Application Server V9.4以降

対処方法

サポートページにてパッチモジュールが公開されています。テキストファイルを参照したうえで適用してください。
https://www.support.nec.co.jp/View.aspx?id=9010108643

参考情報

Japan Vulnerability Notes JVNVU#94367039
OpenSSL に複数の脆弱性
https://jvn.jp/vu/JVNVU94367039/

OpenSSL
Project OpenSSL Security Advisory [10 September 2019]
https://www.openssl.org/news/secadv/20190910.txt

CVE-2019-1547
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1547
CVE-2019-1549
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1549
CVE-2019-1563
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1563

更新情報