Japan
サイト内の現在位置
OpenSSL におけるバッファオーバーフローの脆弱性
掲載番号:NV20-004
脆弱性情報識別番号:JVNVU#90419651
概要
・OpenSSL には、以下バッファオーバーフローの脆弱性が存在します。
・512 ビット用モジュールのべき乗計算で使用される Montgomery squaring プロシージャにおけるオーバーフローの問題(CVE-2019-1551)
・深刻度 - 低 (Severity: Low)
・攻撃者により任意のコードを実行されたり、サービス運用妨害 (DoS) 攻撃を受けたりする可能性があります。
なお、開発者によると楕円曲線暗号アルゴリズムを用いる場合には本脆弱性の影響は受けないとのことです。
対象製品
SystemDirector Enterprise
影響の有無
影響あり
対象となる製品のバージョン
SystemDirector Enterprise for Java 全モデル
V5.1~7.2
対処方法
V8.0以降にアップデートするか、回避策として、下記の対策を実施してください。
1. Eclipseの「ウィンドウ」メニューから「設定」を選択する。
2. 設定画面で「チーム」->「SVN」を選択する。
3. SVNインターフェイスが「JavaHL (JNI) <バージョン情報>」だった場合、
「SVNkit(Pure Java) SVNKit <バージョン情報>」を選択して「OK」ボタンを押す。
ESMPRO/ServerAgent
影響の有無
影響あり
対象となる製品のバージョン
4.4.22-1以降
対処方法
開発者が提供する情報をもとに、パッチを適用してください。
詳しくは、開発者が提供する情報を確認してください。
WitchyMail
影響の有無
影響あり
対象となる製品のバージョン
全バージョン
(WitchyMailをhttps接続にて利用している場合、かつOpenSSL1.1.1および1.0.2を利用している場合)
対処方法
開発者が提供する情報をもとに、OSのパッチを適用して、OpenSSLの更新を実施ください。
詳しくは、開発者が提供する情報を確認してください。
UNIVERGE Soft Client SP350
影響の有無
影響あり
対象となる製品のバージョン
SP350 R6.16まで
(リモートデスクトップ環境でSP350 VPCC版と音声オプションソフトとを使用し接続している場合に限る)
対処方法
SP350 R6.17にアップデートしてください。
UNIVERGE WAシリーズ
影響の有無
影響あり
対象となる製品のバージョン
Ver8.2以前
対処方法
Ver8.3.9にアップデートしてください。
CONNEXIVE PF
影響の有無
基盤として利用しているWebOTX Application Serverで影響あり
対象となる製品のバージョン
V7.0
対処方法
以下を参照してWebOTXの対処を実施してください。
https://support.pf.nec.co.jp/View.aspx?id=3010103082
NEC Cyber Security Platform
影響の有無
影響あり
対象となる製品のバージョン
NCSPエージェント V1.0~V2.0.7.1、V2.1.0.0~V2.2.1.3、V3.0.0.0
対処方法
V2.0.7.2、V3.0.0.2 にて対処済みです。
EnterpriseIdentityManager
影響の有無
2-prime RSA1024, 3-prime RSA1536, DSA1024の暗号方式を使用している場合影響あり
対象となる製品のバージョン
Ver8.5以前
対処方法
Ver8.6以降への製品バージョンアップを実施してください。
もしくは、下記条件での運用による回避策を適用してください。
・EDSへの接続にて2-prime RSA1024, 3-prime RSA1536, DSA1024の暗号方式を使用しない
EnterpriseDirectoryServer
影響の有無
2-prime RSA1024, 3-prime RSA1536, DSA1024の暗号方式を使用している場合影響あり
対象となる製品のバージョン
Ver8.5以前
対処方法
Ver8.6以降への製品バージョンアップを実施してください。
もしくは、下記条件での運用による回避策を適用してください。
・EDSへの接続にて2-prime RSA1024, 3-prime RSA1536, DSA1024の暗号方式を使用しない
参考情報
Japan Vulnerability Notes
https://jvn.jp/vu/JVNVU90419651/
CVE
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1551
OpenSSL Security Advisory [6 December 2019]
https://www.openssl.org/news/secadv/20191206.txt
更新情報
- 2023/03/27
-
EnterpriseIdentityManager, EnterpriseDirectoryServer を登録しました。
- 2022/04/15
-
SystemDirector Enterprise を登録しました。
- 2022/01/25
-
CONNEXIVE PF を登録しました。
- 2021/06/18
-
UNIVERGE WAシリーズ を登録しました。
- 2021/02/15
-
エッジゲートウェイ を登録しました。
- 2020/12/18
-
UNIVERGE Soft Client SP350 を登録しました。
- 2020/08/20
-
ESMPRO/ServerAgent, WitchyMail を登録しました。
- 2020/02/19
-
SystemDirector Enterprise を登録しました。