サイト内の現在位置

OpenSSL における暗号通信を解読可能な脆弱性 (Raccoon Attack)

掲載番号:NV20-019
脆弱性情報識別番号:JVNVU#91973538

概要

Raccoon Attack - CVE-2020-1968Diffie-Hellman 鍵交換を行うプログラムを使用した場合、中間者攻撃が可能な環境で TLS ハンドシェイク時に使用するプリマスターシークレットが解かれ、サーバとクライアント間でやり取りされる通信内容を解読される (Raccoon Attack) 可能性があります。

対象製品

エッジゲートウェイ

影響の有無

影響あり

対象となる製品のバージョン

SI_20191220-01までで、Diffie-Hellman方式による鍵交換を使用する場合

対処方法

回避策として、ランタイム設定で Diffie-Hellman 鍵交換を無効にする設定をすることを推奨します。
以下の方法で、Debian9のDiffie-Hellmanによる鍵交換の無効化を設定できます。

1. /etc/ssh/sshd_configの設定変更
 ・エッジゲートウェイの初期設定では、/etc/ssh/sshd_configにKexAlgorithms(鍵交換方式の指定)は、OSのデフォルト値適用のため、
 初期設定からKexAlgorithmsの設定値を変更していない場合には、現在の設定値を調べ(下記コマンド)、元のKexAlgorithms設定値から、
 diffie-hellman-group削除した設定を、/etc/ssh/sshd_configの末尾に追加します。

 【OS設定+設定ファイル(/etc/ssh/sshd_config)によるデフォルト値の表示】
 # sshd -T | grep KexAlgorithms

 ・お客様の固有の環境設定で、/etc/ssh/sshd_configのKexAlgorithms設定値を追加した場合には、現在の設定値からdiffie-hellman-group
 を削除した設定値に変更します。
 現在の設定値にdiffie-hellman-groupが存在しない場合には、以下の処理は不要です。

2.設定変更の反映 ・設定の反映前に、以下のコマンドで/etc/ssh/sshd_configファイルに書き間違いがないか構文検証をします。
 # sshd -t

 ・構文エラーが無ければ、下記のコマンドでsshdデーモンを再起動、または、エッジゲートウェイ本体を再起動することにより、設定の反映が出来ます。
 # systemctl restart ssh
 
 ・以下のコマンドで、設定内容の反映の確認をします。
 # sshd -T

EnterpriseDirectoryServer

影響の有無

影響あり

対象となる製品のバージョン

Ver8.0以降のSSLオプションを利用している場合

対処方法

SSLオプションに対するパッチの適用及び必要に応じて符合化スイートの変更をお願いします。 1. SSLオプションに対するパッチ適用
 以下を参照頂き、未適用の場合適用をお願いします。
 (参照にはPPサポート契約が必要です)
 https://www.support.nec.co.jp/View.aspx?id=9010107716

 2.符合化スイートの変更
 符合化スイート(ldapSSLCipherSuite)に"DH-"で始まるものがある場合は、"DH-"で除外した符合化スイートを設定して下さい。
 なお、問題となるのは"DH-"で始まるものだけです。"DHE-”で始まるものは除外する必要はありません。
 また、既定の設定値(DEFAULT:!DH)から変更していない場合は対処の必要はありません。

SpoolServer/Winspoolシリーズ

影響の有無

影響あり
HTTPS通信を行うApache HTTP Server環境を構築している場合

対象となる製品のバージョン

OpenSSL 1.0.2w より前の OpenSSL 1.0.2 系のバージョン

対処方法

ReportFiling自身の対処はなく、お客様にOpenSSL 1.1.1を含むApache HTTP Serverへのアップデートを行っていただきます。
アップデート手順の詳細は、ML:reportfiling[@]nes.jp.nec.comにお問い合わせください。

WebOTX

影響の有無

影響あり

対象となる製品のバージョン

WebOTX Application Server Express V8.2~V10.2
WebOTX Application Server Standard V8.2~V10.2
WebOTX Application Server Enterprise V8.2~V9.6
WebOTX SIP Application Server Standard Edition V8.13
(※)WebOTX Enterprise Service Bus V8.2~V8.5、V9.2、V9.3、V10.1、
  WebOTX Portal V8.2~V8.4、V9.1、V9.3、V10.1
  にバンドルされているWebOTX Application Server Expressを
  使用している場合にも該当します。
(※)V8.2~V9.3はOpenSSLのバージョン1.0.2のパッチモジュールを
  適用している場合に該当します。

対処方法

パッチが必要な場合は、NECサポートポータル経由でお問いあわせください。
https://www.support.nec.co.jp/View.aspx?id=3010103206
 ※パッチの提供は製品保守契約結ばれているお客様に限ります。

WitchyMail

影響の有無

影響あり
中間者攻撃が可能な環境でWitchyMailWitchyMailをhttps接続にて利用する場合、かつ公開鍵ににDH鍵交換を使用している場合

対象となる製品のバージョン

WitchyMailがインストールされているサーバのOpenSSLOpenSSLが 1.0.2w より前の 1.0.2 系のバージョンの場合
(RHEL7.4以降にバンドルされているOpenSSLが対象となる1.0.2系のバージョン)

対処方法

以下のページを参照して対処を実施してください。
https://jvn.jp/vu/JVNVU91973538/index.html
なお、OpenSSL 1.1.1 バージョンへのアップグレードを実施した際は、mod_ssl の更新が必要になります。

参考情報

更新情報

2020/12/18
EnterpriseDirectoryServer, エッジゲートウェイ, SpoolServer/Winspoolシリーズ, WebOTX, WitchyMail を登録しました。