掲載番号:NV20-009
脆弱性情報識別番号:JVNVU#97087254

概要

TLS 1.3 の signature_algorithms_cert 拡張を処理する際に NULL ポインタ参照が発生するため、ハンドシェイク後の通信において SSL_check_chain() 関数が実行される際に、サーバまたはクライアントアプリケーションがクラッシュする可能性があります。

対象製品

WebOTX

影響の有無

影響あり

対象となる製品のバージョン

　WebOTX Application Server Express V10.3
　WebOTX Application Server Standard V10.3
　(※) WebOTX Enterprise Service Bus V10.3および、WebOTX Portal V10.1で、
　　WebOTX Application Server Express V10.3を使用している場合にも該当します。

対処方法

　パッチの公開時期は現在検討中です。急ぎでパッチが必要な場合はご連絡ください。
　また、以下のページで回避策を提示しています。
https://www.support.nec.co.jp/View.aspx?id=3010103098

iStorageManager

影響の有無

影響あり

対象となる製品のバージョン

[iStorageManager]
　　以下のバージョンのiSMサーバ
　　　・Ver12.1～Ver12.2

　[iStorageManager Express]
　　以下のリビジョンのiStorage Mシリーズのストレージ制御ソフト
　　　・Mx20シリーズ　　　　　：リビジョン 1216～1226

対処方法

以下のURLにて修正コンテンツを公開しています。(サポートポータルへのログインが必要です。)
・V12.3
【iStorage M/Aシリーズ】 WebSAM iStorageManager 修正情報 ISMS-ISM-12300167
https://www.support.nec.co.jp/View.aspx?id=9010110072
・ストレージ制御ソフト
【iStorage Mシリーズ】 iStorage M12e/M120/M320/M320F/M520/M720/M720F向け最新標準修正
https://www.support.nec.co.jp/View.aspx?id=9010108058

参考情報

Japan Vulnerability Notes
https://jvn.jp/vu/JVNVU97087254/index.html

OpenSSL Security Advisory
https://www.openssl.org/news/secadv/20200421.txt

CVE
https://cve.mitre.org/cgi-bin/cvename.cgi?name=2020-1967

更新情報