Japan

サイト内の現在位置

OpenSSL におけるバッファオーバーフローの脆弱性

掲載番号:NV20-004
脆弱性情報識別番号:JVNVU#90419651

概要

・OpenSSL には、以下バッファオーバーフローの脆弱性が存在します。
・512 ビット用モジュールのべき乗計算で使用される Montgomery squaring プロシージャにおけるオーバーフローの問題(CVE-2019-1551)
・深刻度 - 低 (Severity: Low)
・攻撃者により任意のコードを実行されたり、サービス運用妨害 (DoS) 攻撃を受けたりする可能性があります。
 なお、開発者によると楕円曲線暗号アルゴリズムを用いる場合には本脆弱性の影響は受けないとのことです。

対象製品

エッジゲートウェイ

影響の有無

影響あり

対象となる製品のバージョン

openssl「1.1.0l-1~deb9u」を使用しているDebian9ベースのエッジゲートウェイ

対処方法

OpenSSLをversion 1.1.1gにアップデートして下さい。
アップデートの手順は、以下になります。

1.事前準備
build-essentialがインストールされていなければ、root権限でbuild-essentialをインストールしてください。
・build-essentialのインストール確認
 # dpkg -l | grep build-essential
・build-essentialのインストール
 # apt-get install -y build-essential

2.opensslのダウンロードとインストール
以下のコマンドをroot権限で実行してください。
 # mkdir /data/libinstall
 # cd /data/libinstall
 # wget https://www.openssl.org/source/openssl-1.1.1g.tar.gz
 # tar -zxf openssl-1.1.1g.tar.gz
 # cd openssl-1.1.1g
 # ./config
 # make ※実行完了まで15分程かかります。
 # make test ※実行完了まで6分程かかります。
 # mkdir /usr/bin/old_bin
 # mv /usr/bin/openssl /usr/bin/old_bin/openssl_1.1.0l
 # make install_sw ※実行完了まで1分程かかります。
 # ln -s /usr/local/bin/openssl /usr/bin/openssl
 # ldconfig

以下のコマンドでインストールバージョンを確認できます。
 # openssl version
正しくインストールされている場合は、以下のように表示されます。
 OpenSSL 1.1.1g 21 Apr 2020

ESMPRO/ServerAgent

影響の有無

影響あり

対象となる製品のバージョン

4.4.22-1以降

対処方法

開発者が提供する情報をもとに、パッチを適用してください。
詳しくは、開発者が提供する情報を確認してください。

SystemDirector Enterprise

影響の有無

影響あり

対象となる製品のバージョン

SystemDirector Enterprise for Java 全モデル
V5.1~7.2

対処方法

V8.0以降にアップデートするか、回避策として、下記の対策を実施してください。
 1. Eclipseの「ウィンドウ」メニューから「設定」を選択する。
 2. 設定画面で「チーム」->「SVN」を選択する。
 3. SVNインターフェイスが「JavaHL (JNI) <バージョン情報>」だった場合、
「SVNkit(Pure Java) SVNKit <バージョン情報>」を選択して「OK」ボタンを押す。

UNIVERGE Soft Client SP350

影響の有無

影響あり

対象となる製品のバージョン

SP350 R6.16まで
(リモートデスクトップ環境でSP350 VPCC版と音声オプションソフトとを使用し接続している場合に限る)

対処方法

SP350 R6.17にアップデートしてください。

UNIVERGE WAシリーズ

影響の有無

影響あり

対象となる製品のバージョン

Ver8.2以前

対処方法

Ver8.3.9にアップデートしてください。

WitchyMail

影響の有無

影響あり

対象となる製品のバージョン

全バージョン
(WitchyMailをhttps接続にて利用している場合、かつOpenSSL1.1.1および1.0.2を利用している場合)

対処方法

開発者が提供する情報をもとに、OSのパッチを適用して、OpenSSLの更新を実施ください。
詳しくは、開発者が提供する情報を確認してください。

CONNEXIVE PF

影響の有無

基盤として利用しているWebOTX Application Serverで影響あり

対象となる製品のバージョン

V7.0

対処方法

以下を参照してWebOTXの対処を実施してください。
http://support.pf.nec.co.jp/View.aspx?id=3010103082

NEC Cyber Security Platform

影響の有無

影響あり

対象となる製品のバージョン

NCSPエージェント V1.0~V2.0.7.1、V2.1.0.0~V2.2.1.3、V3.0.0.0

対処方法

V2.0.7.2、V3.0.0.2 にて対処済みです。

参考情報

Japan Vulnerability Notes
https://jvn.jp/vu/JVNVU90419651/

CVE
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1551

OpenSSL Security Advisory [6 December 2019]
https://www.openssl.org/news/secadv/20191206.txt

更新情報

2022/04/15
NEC Cyber Security Platform を登録しました。
2022/01/25
CONNEXIVE PF を登録しました。
2021/06/18
UNIVERGE WAシリーズ を登録しました。
2021/02/15
エッジゲートウェイ を登録しました。
2020/12/18
UNIVERGE Soft Client SP350 を登録しました。
2020/08/20
ESMPRO/ServerAgent, WitchyMail を登録しました。
2020/02/19
SystemDirector Enterprise を登録しました。