Japan

サイト内の現在位置

OpenSSL における暗号通信を解読可能な脆弱性 (Raccoon Attack)

掲載番号:NV20-019
脆弱性情報識別番号:JVNVU#91973538

概要

Raccoon Attack - CVE-2020-1968Diffie-Hellman 鍵交換を行うプログラムを使用した場合、中間者攻撃が可能な環境で TLS ハンドシェイク時に使用するプリマスターシークレットが解かれ、サーバとクライアント間でやり取りされる通信内容を解読される (Raccoon Attack) 可能性があります。

対象製品

AddPoint

影響の有無

影響あり

対象となる製品のバージョン

Addpoint/SA V6.5

対処方法

OpenSSL1.1.1にアップデートしてください。

エッジゲートウェイ

影響の有無

影響あり

対象となる製品のバージョン

SI_20191220-01までで、Diffie-Hellman方式による鍵交換を使用する場合

対処方法

回避策として、ランタイム設定で Diffie-Hellman 鍵交換を無効にする設定をすることを推奨します。
以下の方法で、Debian9のDiffie-Hellmanによる鍵交換の無効化を設定できます。

1. /etc/ssh/sshd_configの設定変更
 ・エッジゲートウェイの初期設定では、/etc/ssh/sshd_configにKexAlgorithms(鍵交換方式の指定)は、OSのデフォルト値適用のため、
 初期設定からKexAlgorithmsの設定値を変更していない場合には、現在の設定値を調べ(下記コマンド)、元のKexAlgorithms設定値から、
 diffie-hellman-group削除した設定を、/etc/ssh/sshd_configの末尾に追加します。

 【OS設定+設定ファイル(/etc/ssh/sshd_config)によるデフォルト値の表示】
 # sshd -T | grep KexAlgorithms
 ・お客様の固有の環境設定で、/etc/ssh/sshd_configのKexAlgorithms設定値を追加した場合には、現在の設定値からdiffie-hellman-group
 を削除した設定値に変更します。
 現在の設定値にdiffie-hellman-groupが存在しない場合には、以下の処理は不要です。

2.設定変更の反映 ・設定の反映前に、以下のコマンドで/etc/ssh/sshd_configファイルに書き間違いがないか構文検証をします。
 # sshd -t
 ・構文エラーが無ければ、下記のコマンドでsshdデーモンを再起動、または、エッジゲートウェイ本体を再起動することにより、設定の反映が出来ます。
 # systemctl restart ssh
 
 ・以下のコマンドで、設定内容の反映の確認をします。
 # sshd -T

EnterpriseDirectoryServer

影響の有無

影響あり

対象となる製品のバージョン

Ver8.0以降のSSLオプションを利用している場合

対処方法

SSLオプションに対するパッチの適用及び必要に応じて符合化スイートの変更をお願いします。 1. SSLオプションに対するパッチ適用
 以下を参照頂き、未適用の場合適用をお願いします。
 (参照にはPPサポート契約が必要です)
 https://www.support.nec.co.jp/View.aspx?id=9010107716

 2.符合化スイートの変更
 符合化スイート(ldapSSLCipherSuite)に"DH-"で始まるものがある場合は、"DH-"で除外した符合化スイートを設定して下さい。
 なお、問題となるのは"DH-"で始まるものだけです。"DHE-”で始まるものは除外する必要はありません。
 また、既定の設定値(DEFAULT:!DH)から変更していない場合は対処の必要はありません。

EnterpriseIdentityManager

影響の有無

影響あり

対象となる製品のバージョン

Ver8.0以降

対処方法

パッチの適用及び必要に応じて符合化スイートの変更をお願いします。 1. パッチ適用
 EIMに同梱しているEDSに関して、以下を参照頂き、未適用の場合適用をお願いします。
 なお、EIMに同梱しているEDSにはSSLオプションを同梱しています。
 (参照にはPPサポート契約が必要です)
 https://www.support.nec.co.jp/View.aspx?id=9010107716

 2.符合化スイートの変更
 符合化スイート(ldapSSLCipherSuite)に"DH-"で始まるものがある場合は、"DH-"で除外した符合化スイートを設定して下さい。
 なお、問題となるのは"DH-"で始まるものだけです。"DHE-”で始まるものは除外する必要はありません。
 また、既定の設定値(DEFAULT:!DH)から変更していない場合は対処の必要はありません。

Mission Critical Mail

影響の有無

影響あり

対象となる製品のバージョン

RHEL7上で実行している全てのバージョン
(RHEL8上で実行している場合は影響ありません)

対処方法

Missino Critical Mail V1.3以降の場合は製品マニュアル「Mission Critical Mail Filter管理者ガイド」の17.1.1のtls_cipher_listの設定で「DH-」で始まる項目を削除することで脆弱性の影響を回避できます。
(ただし、TLS通信ができなくなる送信先・受信元が発生するリスクがあります。)

SpoolServer/Winspoolシリーズ

影響の有無

影響あり
HTTPS通信を行うApache HTTP Server環境を構築している場合

対象となる製品のバージョン

OpenSSL 1.0.2w より前の OpenSSL 1.0.2 系のバージョン

対処方法

ReportFiling自身の対処はなく、お客様にOpenSSL 1.1.1を含むApache HTTP Serverへのアップデートを行っていただきます。
アップデート手順の詳細は、ML:reportfiling[@]nes.jp.nec.comにお問い合わせください。

UNIVERGE DT800/DT900/DT900S SIP Phone

影響の有無

影響あり

対象となる製品のバージョン

・DT900/DT900S
 ~V5.2.0.1
・DT800
 ~V4.3.26.14

対処方法

OpenSSL1.1.1系に更新したF/Wを適用してください。

UNIVERGE WAシリーズ

影響の有無

影響あり

対象となる製品のバージョン

Ver8.2以前

対処方法

Ver8.3.9にアップデートしてください。

WebOTX

影響の有無

影響あり

対象となる製品のバージョン

WebOTX Application Server Express V8.2~V10.2
WebOTX Application Server Standard V8.2~V10.2
WebOTX Application Server Enterprise V8.2~V9.6
WebOTX SIP Application Server Standard Edition V8.13
(※)WebOTX Enterprise Service Bus V8.2~V8.5、V9.2、V9.3、V10.1、
  WebOTX Portal V8.2~V8.4、V9.1、V9.3、V10.1
  にバンドルされているWebOTX Application Server Expressを
  使用している場合にも該当します。
(※)V8.2~V9.3はOpenSSLのバージョン1.0.2のパッチモジュールを
  適用している場合に該当します。

対処方法

パッチが必要な場合は、NECサポートポータル経由でお問いあわせください。
https://www.support.nec.co.jp/View.aspx?id=3010103206
 ※パッチの提供は製品保守契約結ばれているお客様に限ります。

WitchyMail

影響の有無

影響あり
中間者攻撃が可能な環境でWitchyMailWitchyMailをhttps接続にて利用する場合、かつ公開鍵ににDH鍵交換を使用している場合

対象となる製品のバージョン

WitchyMailがインストールされているサーバのOpenSSLOpenSSLが 1.0.2w より前の 1.0.2 系のバージョンの場合
(RHEL7.4以降にバンドルされているOpenSSLが対象となる1.0.2系のバージョン)

対処方法

以下のページを参照して対処を実施してください。
https://jvn.jp/vu/JVNVU91973538/index.html
なお、OpenSSL 1.1.1 バージョンへのアップグレードを実施した際は、mod_ssl の更新が必要になります。

サニタリー利用記録システム

影響の有無

影響あり

対象となる製品のバージョン

全てのバージョン

対処方法

最新バージョンにアップデートしてください。

CONNEXIVE PF

影響の有無

基盤として利用しているWebOTX Application Serverで影響あり

対象となる製品のバージョン

V7.0

対処方法

以下を参照してWebOTXの対処を実施してください。
http://support.pf.nec.co.jp/View.aspx?id=3010103206

NEC Cyber Security Platform

影響の有無

影響あり

対象となる製品のバージョン

NCSPエージェント V1.0~V2.0.7.1、V2.1.0.0~V2.2.1.3

対処方法

V2.0.7.2、V3.0にて対処済みです。

ActSecureポータル

影響の有無

影響あり

対象となる製品のバージョン

全てのバージョン

対処方法

最新バージョンで対応済みです。

参考情報

OpenSSL Security Advisory [09 September 2020]
https://www.openssl.org/news/secadv/20200909.txt

Raccoon Attack
https://raccoon-attack.com/

CVE-2020-1968
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1968

JVNVU#91973538
https://jvn.jp/vu/JVNVU91973538/index.html

更新情報

2023/02/10
ActSecureポータル を登録しました。
2022/04/15
NEC Cyber Security Platform を登録しました。
2022/01/25
CONNEXIVE PF を登録しました。
2021/06/18
AddPoint, UNIVERGE WAシリーズ, サニタリー利用記録システム を登録しました。
2021/01/22
EnterpriseIdentityManager, UNIVERGE DT800/DT900/DT900S SIP Phone, Mission Critical Mail を登録しました。
2020/12/18
EnterpriseDirectoryServer, エッジゲートウェイ, SpoolServer/Winspoolシリーズ, WebOTX, WitchyMail を登録しました。