OpenSSL におけるバッファオーバーフローの脆弱性

掲載番号:NV20-004
脆弱性情報識別番号:JVNVU#90419651

概要

・OpenSSL には、以下バッファオーバーフローの脆弱性が存在します。
・512 ビット用モジュールのべき乗計算で使用される Montgomery squaring プロシージャにおけるオーバーフローの問題(CVE-2019-1551)
・深刻度 - 低 (Severity: Low)
・攻撃者により任意のコードを実行されたり、サービス運用妨害 (DoS) 攻撃を受けたりする可能性があります。
 なお、開発者によると楕円曲線暗号アルゴリズムを用いる場合には本脆弱性の影響は受けないとのことです。

対象製品

SystemDirector Enterprise

影響の有無

影響あり

対象となる製品のバージョン

SystemDirector Enterprise for Java 全モデル
V5.1~7.2

対処方法

V8.0以降にアップデートするか、回避策として、下記の対策を実施してください。
 1. Eclipseの「ウィンドウ」メニューから「設定」を選択する。
 2. 設定画面で「チーム」->「SVN」を選択する。
 3. SVNインターフェイスが「JavaHL (JNI) <バージョン情報>」だった場合、
「SVNkit(Pure Java) SVNKit <バージョン情報>」を選択して「OK」ボタンを押す。

ESMPRO/ServerAgent

影響の有無

影響あり

対象となる製品のバージョン

4.4.22-1以降

対処方法

開発者が提供する情報をもとに、パッチを適用してください。
詳しくは、開発者が提供する情報を確認してください。

WitchyMail

影響の有無

影響あり

対象となる製品のバージョン

全バージョン
(WitchyMailをhttps接続にて利用している場合、かつOpenSSL1.1.1および1.0.2を利用している場合)

対処方法

開発者が提供する情報をもとに、OSのパッチを適用して、OpenSSLの更新を実施ください。
詳しくは、開発者が提供する情報を確認してください。

UNIVERGE Soft Client SP350

影響の有無

影響あり

対象となる製品のバージョン

SP350 R6.16まで
(リモートデスクトップ環境でSP350 VPCC版と音声オプションソフトとを使用し接続している場合に限る)

対処方法

SP350 R6.17にアップデートしてください。

UNIVERGE WAシリーズ

影響の有無

影響あり

対象となる製品のバージョン

Ver8.2以前

対処方法

Ver8.3.9にアップデートしてください。

CONNEXIVE PF

影響の有無

基盤として利用しているWebOTX Application Serverで影響あり

対象となる製品のバージョン

V7.0

対処方法

以下を参照してWebOTXの対処を実施してください。
http://support.pf.nec.co.jp/View.aspx?id=3010103082

NEC Cyber Security Platform

影響の有無

影響あり

対象となる製品のバージョン

NCSPエージェント V1.0~V2.0.7.1、V2.1.0.0~V2.2.1.3、V3.0.0.0

対処方法

V2.0.7.2、V3.0.0.2 にて対処済みです。

EnterpriseIdentityManager

影響の有無

2-prime RSA1024, 3-prime RSA1536, DSA1024の暗号方式を使用している場合影響あり

対象となる製品のバージョン

Ver8.5以前

対処方法

Ver8.6以降への製品バージョンアップを実施してください。
もしくは、下記条件での運用による回避策を適用してください。
 ・EDSへの接続にて2-prime RSA1024, 3-prime RSA1536, DSA1024の暗号方式を使用しない

EnterpriseDirectoryServer

影響の有無

2-prime RSA1024, 3-prime RSA1536, DSA1024の暗号方式を使用している場合影響あり

対象となる製品のバージョン

Ver8.5以前

対処方法

Ver8.6以降への製品バージョンアップを実施してください。
もしくは、下記条件での運用による回避策を適用してください。
 ・EDSへの接続にて2-prime RSA1024, 3-prime RSA1536, DSA1024の暗号方式を使用しない

参考情報

更新情報

2023/03/27
EnterpriseIdentityManager, EnterpriseDirectoryServer を登録しました。
2022/04/15
SystemDirector Enterprise を登録しました。
2022/01/25
CONNEXIVE PF を登録しました。
2021/06/18
UNIVERGE WAシリーズ を登録しました。
2021/02/15
エッジゲートウェイ を登録しました。
2020/12/18
UNIVERGE Soft Client SP350 を登録しました。
2020/08/20
ESMPRO/ServerAgent, WitchyMail を登録しました。
2020/02/19
SystemDirector Enterprise を登録しました。