Japan
サイト内の現在位置
OpenSSL におけるバッファオーバーフローの脆弱性
掲載番号:NV20-004
脆弱性情報識別番号:JVNVU#90419651
概要
・OpenSSL には、以下バッファオーバーフローの脆弱性が存在します。
・512 ビット用モジュールのべき乗計算で使用される
Montgomery squaring プロシージャにおけるオーバーフローの問題(CVE-2019-1551)
・深刻度 - 低 (Severity:
Low)
・攻撃者により任意のコードを実行されたり、サービス運用妨害 (DoS)
攻撃を受けたりする可能性があります。
なお、開発者によると楕円曲線暗号アルゴリズムを用いる場合には本脆弱性の影響は受けないとのことです。
対象製品
エッジゲートウェイ
影響の有無
影響あり
対象となる製品のバージョン
openssl「1.1.0l-1~deb9u」を使用しているDebian9ベースのエッジゲートウェイ
対処方法
OpenSSLをversion 1.1.1gにアップデートして下さい。
アップデートの手順は、以下になります。
1.事前準備
build-essentialがインストールされていなければ、root権限でbuild-essentialをインストールしてください。
・build-essentialのインストール確認
# dpkg -l | grep build-essential
・build-essentialのインストール
# apt-get install -y build-essential
2.opensslのダウンロードとインストール
以下のコマンドをroot権限で実行してください。
# mkdir /data/libinstall
# cd /data/libinstall
# wget https://www.openssl.org/source/openssl-1.1.1g.tar.gz
# tar -zxf openssl-1.1.1g.tar.gz
# cd openssl-1.1.1g
# ./config
# make ※実行完了まで15分程かかります。
# make test ※実行完了まで6分程かかります。
# mkdir /usr/bin/old_bin
# mv /usr/bin/openssl /usr/bin/old_bin/openssl_1.1.0l
# make install_sw ※実行完了まで1分程かかります。
# ln -s /usr/local/bin/openssl /usr/bin/openssl
# ldconfig
以下のコマンドでインストールバージョンを確認できます。
# openssl version
正しくインストールされている場合は、以下のように表示されます。
OpenSSL 1.1.1g 21 Apr 2020
ESMPRO/ServerAgent
影響の有無
影響あり
対象となる製品のバージョン
4.4.22-1以降
対処方法
開発者が提供する情報をもとに、パッチを適用してください。
詳しくは、開発者が提供する情報を確認してください。
SystemDirector Enterprise
影響の有無
影響あり
対象となる製品のバージョン
SystemDirector Enterprise for Java 全モデル
V5.1~7.2
対処方法
V8.0以降にアップデートするか、回避策として、下記の対策を実施してください。
1.
Eclipseの「ウィンドウ」メニューから「設定」を選択する。
2. 設定画面で「チーム」->「SVN」を選択する。
3.
SVNインターフェイスが「JavaHL (JNI) <バージョン情報>」だった場合、
「SVNkit(Pure Java) SVNKit
<バージョン情報>」を選択して「OK」ボタンを押す。
UNIVERGE Soft Client SP350
影響の有無
影響あり
対象となる製品のバージョン
SP350 R6.16まで
(リモートデスクトップ環境でSP350 VPCC版と音声オプションソフトとを使用し接続している場合に限る)
対処方法
SP350 R6.17にアップデートしてください。
UNIVERGE WAシリーズ
影響の有無
影響あり
対象となる製品のバージョン
Ver8.2以前
対処方法
Ver8.3.9にアップデートしてください。
WitchyMail
影響の有無
影響あり
対象となる製品のバージョン
全バージョン
(WitchyMailをhttps接続にて利用している場合、かつOpenSSL1.1.1および1.0.2を利用している場合)
対処方法
開発者が提供する情報をもとに、OSのパッチを適用して、OpenSSLの更新を実施ください。
詳しくは、開発者が提供する情報を確認してください。
CONNEXIVE PF
影響の有無
基盤として利用しているWebOTX Application Serverで影響あり
対象となる製品のバージョン
V7.0
対処方法
以下を参照してWebOTXの対処を実施してください。
http://support.pf.nec.co.jp/View.aspx?id=3010103082
NEC Cyber Security Platform
影響の有無
影響あり
対象となる製品のバージョン
NCSPエージェント V1.0~V2.0.7.1、V2.1.0.0~V2.2.1.3、V3.0.0.0
対処方法
V2.0.7.2、V3.0.0.2 にて対処済みです。
参考情報
Japan Vulnerability Notes
https://jvn.jp/vu/JVNVU90419651/
CVE
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1551
OpenSSL Security Advisory [6 December 2019]
https://www.openssl.org/news/secadv/20191206.txt
更新情報
- 2022/04/15
-
NEC Cyber Security Platform を登録しました。
- 2022/01/25
-
CONNEXIVE PF を登録しました。
- 2021/06/18
-
UNIVERGE WAシリーズ を登録しました。
- 2021/02/15
-
エッジゲートウェイ を登録しました。
- 2020/12/18
-
UNIVERGE Soft Client SP350 を登録しました。
- 2020/08/20
-
ESMPRO/ServerAgent, WitchyMail を登録しました。
- 2020/02/19
-
SystemDirector Enterprise を登録しました。