Japan
サイト内の現在位置
OpenSSL における暗号通信を解読可能な脆弱性 (Raccoon Attack)
掲載番号:NV20-019
脆弱性情報識別番号:JVNVU#91973538
概要
Raccoon Attack - CVE-2020-1968Diffie-Hellman 鍵交換を行うプログラムを使用した場合、中間者攻撃が可能な環境で TLS ハンドシェイク時に使用するプリマスターシークレットが解かれ、サーバとクライアント間でやり取りされる通信内容を解読される (Raccoon Attack) 可能性があります。
対象製品
エッジゲートウェイ
影響の有無
影響あり
対象となる製品のバージョン
SI_20191220-01までで、Diffie-Hellman方式による鍵交換を使用する場合
対処方法
回避策として、ランタイム設定で Diffie-Hellman 鍵交換を無効にする設定をすることを推奨します。
以下の方法で、Debian9のDiffie-Hellmanによる鍵交換の無効化を設定できます。
1. /etc/ssh/sshd_configの設定変更
・エッジゲートウェイの初期設定では、/etc/ssh/sshd_configにKexAlgorithms(鍵交換方式の指定)は、OSのデフォルト値適用のため、
初期設定からKexAlgorithmsの設定値を変更していない場合には、現在の設定値を調べ(下記コマンド)、元のKexAlgorithms設定値から、
diffie-hellman-group削除した設定を、/etc/ssh/sshd_configの末尾に追加します。
【OS設定+設定ファイル(/etc/ssh/sshd_config)によるデフォルト値の表示】
# sshd -T | grep KexAlgorithms
・お客様の固有の環境設定で、/etc/ssh/sshd_configのKexAlgorithms設定値を追加した場合には、現在の設定値からdiffie-hellman-group
を削除した設定値に変更します。
現在の設定値にdiffie-hellman-groupが存在しない場合には、以下の処理は不要です。
2.設定変更の反映 ・設定の反映前に、以下のコマンドで/etc/ssh/sshd_configファイルに書き間違いがないか構文検証をします。
# sshd -t
・構文エラーが無ければ、下記のコマンドでsshdデーモンを再起動、または、エッジゲートウェイ本体を再起動することにより、設定の反映が出来ます。
# systemctl restart ssh
・以下のコマンドで、設定内容の反映の確認をします。
# sshd -T
EnterpriseDirectoryServer
影響の有無
影響あり
対象となる製品のバージョン
Ver8.0以降のSSLオプションを利用している場合
対処方法
SSLオプションに対するパッチの適用及び必要に応じて符合化スイートの変更をお願いします。 1. SSLオプションに対するパッチ適用
以下を参照頂き、未適用の場合適用をお願いします。
(参照にはPPサポート契約が必要です)
https://www.support.nec.co.jp/View.aspx?id=9010107716
2.符合化スイートの変更
符合化スイート(ldapSSLCipherSuite)に"DH-"で始まるものがある場合は、"DH-"で除外した符合化スイートを設定して下さい。
なお、問題となるのは"DH-"で始まるものだけです。"DHE-”で始まるものは除外する必要はありません。
また、既定の設定値(DEFAULT:!DH)から変更していない場合は対処の必要はありません。
SpoolServer/Winspoolシリーズ
影響の有無
影響あり
HTTPS通信を行うApache HTTP Server環境を構築している場合
対象となる製品のバージョン
OpenSSL 1.0.2w より前の OpenSSL 1.0.2 系のバージョン
対処方法
ReportFiling自身の対処はなく、お客様にOpenSSL 1.1.1を含むApache HTTP Serverへのアップデートを行っていただきます。
アップデート手順の詳細は、ML:reportfiling[@]nes.jp.nec.comにお問い合わせください。
WebOTX
影響の有無
影響あり
対象となる製品のバージョン
WebOTX Application Server Express V8.2~V10.2
WebOTX Application Server Standard V8.2~V10.2
WebOTX Application Server Enterprise V8.2~V9.6
WebOTX SIP Application Server Standard Edition V8.13
(※)WebOTX Enterprise Service Bus V8.2~V8.5、V9.2、V9.3、V10.1、
WebOTX Portal V8.2~V8.4、V9.1、V9.3、V10.1
にバンドルされているWebOTX Application Server Expressを
使用している場合にも該当します。
(※)V8.2~V9.3はOpenSSLのバージョン1.0.2のパッチモジュールを
適用している場合に該当します。
対処方法
パッチが必要な場合は、NECサポートポータル経由でお問いあわせください。
https://www.support.nec.co.jp/View.aspx?id=3010103206
※パッチの提供は製品保守契約結ばれているお客様に限ります。
WitchyMail
影響の有無
影響あり
中間者攻撃が可能な環境でWitchyMailWitchyMailをhttps接続にて利用する場合、かつ公開鍵ににDH鍵交換を使用している場合
対象となる製品のバージョン
WitchyMailがインストールされているサーバのOpenSSLOpenSSLが 1.0.2w より前の 1.0.2 系のバージョンの場合
(RHEL7.4以降にバンドルされているOpenSSLが対象となる1.0.2系のバージョン)
対処方法
以下のページを参照して対処を実施してください。
https://jvn.jp/vu/JVNVU91973538/index.html
なお、OpenSSL 1.1.1 バージョンへのアップグレードを実施した際は、mod_ssl の更新が必要になります。
EnterpriseIdentityManager
影響の有無
影響あり
対象となる製品のバージョン
Ver8.0以降
対処方法
パッチの適用及び必要に応じて符合化スイートの変更をお願いします。 1. パッチ適用
EIMに同梱しているEDSに関して、以下を参照頂き、未適用の場合適用をお願いします。
なお、EIMに同梱しているEDSにはSSLオプションを同梱しています。
(参照にはPPサポート契約が必要です)
https://www.support.nec.co.jp/View.aspx?id=9010107716
2.符合化スイートの変更
符合化スイート(ldapSSLCipherSuite)に"DH-"で始まるものがある場合は、"DH-"で除外した符合化スイートを設定して下さい。
なお、問題となるのは"DH-"で始まるものだけです。"DHE-”で始まるものは除外する必要はありません。
また、既定の設定値(DEFAULT:!DH)から変更していない場合は対処の必要はありません。
UNIVERGE DT800/DT900/DT900S SIP Phone
影響の有無
影響あり
対象となる製品のバージョン
・DT900/DT900S
~V5.2.0.1
・DT800
~V4.3.26.14
対処方法
OpenSSL1.1.1系に更新したF/Wを適用してください。
Mission Critical Mail
影響の有無
影響あり
対象となる製品のバージョン
RHEL7上で実行している全てのバージョン
(RHEL8上で実行している場合は影響ありません)
対処方法
Missino Critical Mail V1.3以降の場合は製品マニュアル「Mission Critical Mail Filter管理者ガイド」の17.1.1のtls_cipher_listの設定で「DH-」で始まる項目を削除することで脆弱性の影響を回避できます。
(ただし、TLS通信ができなくなる送信先・受信元が発生するリスクがあります。)
AddPoint
影響の有無
影響あり
対象となる製品のバージョン
Addpoint/SA V6.5
対処方法
OpenSSL1.1.1にアップデートしてください。
UNIVERGE WAシリーズ
影響の有無
影響あり
対象となる製品のバージョン
Ver8.2以前
対処方法
Ver8.3.9にアップデートしてください。
サニタリー利用記録システム
影響の有無
影響あり
対象となる製品のバージョン
全てのバージョン
対処方法
最新バージョンにアップデートしてください。
CONNEXIVE PF
影響の有無
基盤として利用しているWebOTX Application Serverで影響あり
対象となる製品のバージョン
V7.0
対処方法
以下を参照してWebOTXの対処を実施してください。
https://support.pf.nec.co.jp/View.aspx?id=3010103206
NEC Cyber Security Platform
影響の有無
影響あり
対象となる製品のバージョン
NCSPエージェント V1.0~V2.0.7.1、V2.1.0.0~V2.2.1.3
対処方法
V2.0.7.2、V3.0にて対処済みです。
ActSecureポータル
影響の有無
影響あり
対象となる製品のバージョン
全てのバージョン
対処方法
最新バージョンで対応済みです。
Trusted IoT LCM
影響の有無
影響あり
対象となる製品のバージョン
すべてのバージョン
対処方法
CLMにおける設定変更で対処済みです。
参考情報
OpenSSL Security Advisory [09 September 2020]
https://www.openssl.org/news/secadv/20200909.txt
Raccoon Attack
https://raccoon-attack.com/
CVE-2020-1968
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1968
JVNVU#91973538
https://jvn.jp/vu/JVNVU91973538/index.html
更新情報
- 2025/01/15
-
Trusted IoT LCM を登録しました。
- 2023/02/10
-
ActSecureポータル を登録しました。
- 2022/04/15
-
NEC Cyber Security Platform を登録しました。
- 2022/01/25
-
CONNEXIVE PF を登録しました。
- 2021/06/18
-
AddPoint, UNIVERGE WAシリーズ, サニタリー利用記録システム を登録しました。
- 2021/01/22
-
EnterpriseIdentityManager, UNIVERGE DT800/DT900/DT900S SIP Phone, Mission Critical Mail を登録しました。
- 2020/12/18
-
EnterpriseDirectoryServer, エッジゲートウェイ, SpoolServer/Winspoolシリーズ, WebOTX, WitchyMail を登録しました。