掲載番号:NV19-011
脆弱性情報識別番号:JVNVU#94367039、CVE-2019-1547、CVE-2019-1549、CVE-2019-1563

概要

OpenSSLに複数の脆弱性が報告されています。

- ECDSA remote timing attack (CVE-2019-1547)
- Fork Protection (CVE-2019-1549)
- Padding Oracle in PKCS7_dataDecode and CMS_decrypt_set1_pkey (CVE-2019-1563)
　
　影響を受けるバージョンは以下の通りです。
- OpenSSL 1.1.1
- OpenSSL 1.1.0
- OpenSSL 1.0.2

　想定される影響は各脆弱性により異なりますが、機微な情報が窃取されるなどの可能性があります。
　開発者が提供する情報をもとに、最新版へアップデートしてください。

　修正バージョンは以下の通りです。
- OpenSSL 1.0.2t
- OpenSSL 1.1.0l
- OpenSSL 1.1.1d

対象製品

エッジゲートウェイ

影響の有無

影響あり

対象となる製品のバージョン

FW Ver：20170824110000, 20181219082559

対処方法

以下のページを参照し、FW Ver.20191220082721にファームウェアアップデートを行ってください。
https://jpn.nec.com/products/edge/EGW_FWupdate.pdf

CONNEXIVE Platform

影響の有無

影響あり

対象となる製品のバージョン

V7.0

対処方法

CVE-2019-1547
ECDSAを利用する暗号スイートを無効化してください。無効化する方法は、次の通りです。
　1. WebOTXインストールディレクトリ/domains/ドメイン名/config/WebServer/ssl.confを
　 テキストエディタで開きます。
　2. SSLCipherSuiteディレクティブに、ECDSAを無効化するための定義(!ECDSA)を追加するか、
　 または、ECDSAの暗号スイート定義を削除してください。
　　　変更例)
　　　SSLCipherSuite HIGH:MEDIUM:!MD5:!RC4:!ECDSA
　3. Webサーバを再起動します。
　　　otxadmin> invoke server.WebServer.stop
　　　otxadmin> invoke server.WebServer.start

ESMPRO/ServerAgentService

影響の有無

影響あり

対象となる製品のバージョン

全バージョン

対処方法

使用しているシステムがクローズドでない場合は、アップデートによる影響がシステムにないかを確認したうえで最新版へアップデートしてください。
本脆弱性を修正したバージョンがリリースされています。

FC98-NXシリーズ

影響の有無

影響あり

対象となる製品のバージョン

FC-S35W/S22U/R20W MLV6 SP3: OpenSSL 1.0.0-27
FC-E23W/E37B/E22U MLV6 SP4: OpenSSL 1.0.1e-16
FC-R16Wカスタム装置 MLV6 SP7: Openssl-1.0.1e-57
FC-R24W/R16W/S36W/S37K/D28U MLV7 SP2: OpenSSL 1.0.2k-8

対処方法

本脆弱性を修正したバージョンがリリースされています。
使用しているシステムがクローズドでない場合は、アップデートによる影響がシステムにないかを確認したうえで最新版へアップデートしてください。

SystemDirector Enterprise

影響の有無

影響あり

対象となる製品のバージョン

SystemDirector Enterprise for Java 全モデル V5.1～7.2

対処方法

- 以下の手順でSVNクライアントをOpenSSLを利用するJavaHLからSVNKitへ変更します。
　1. Eclipseの「ウィンドウ」メニューから「設定」を選択する。
　2. 設定画面で「チーム」->「SVN」を選択する。
　3. SVNインターフェイスが「JavaHL (JNI) <バージョン情報>」だった場合、
　　「SVNkit(Pure Java) SVNKit <バージョン情報> 」を選択して「OK」ボタンを押す。

WebOTX

影響の有無

影響あり

対象となる製品のバージョン

WebOTX Application Server V9.4以降

対処方法

サポートページにてパッチモジュールが公開されています。テキストファイルを参照したうえで適用してください。
https://www.support.nec.co.jp/View.aspx?id=9010108643

WitchyMail

影響の有無

影響あり

対象となる製品のバージョン

全バージョン

対処方法

影響を受けるOpenSSLを利用している場合はOS提供のパッチを適用してください。

UNIVERGE WAシリーズ

影響の有無

影響あり

対象となる製品のバージョン

Ver8.2以前

対処方法

Ver8.3.9にアップデートしてください。

NEC Cyber Security Platform

影響の有無

影響あり

対象となる製品のバージョン

NCSPエージェント V1.0～V2.0.7.1、V2.1.0.0～V2.2.1.3

対処方法

V2.0.7.2、V3.0にて対処済みです。

参考情報

Japan Vulnerability Notes JVNVU#94367039
OpenSSL に複数の脆弱性
https://jvn.jp/vu/JVNVU94367039/

OpenSSL
Project OpenSSL Security Advisory [10 September 2019]
https://www.openssl.org/news/secadv/20190910.txt

CVE-2019-1547
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1547
CVE-2019-1549
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1549
CVE-2019-1563
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1563

更新情報