Japan
サイト内の現在位置
OpenSSLに複数の脆弱性
掲載番号:NV21-020
脆弱性情報識別番号:JVNVU#99612123
概要
OpenSSLには、次の脆弱性が存在します。
・SM2暗号データの復号処理におけるバッファオーバーフロー - CVE-2021-3711 深刻度 - 高
・ASN.1文字列処理におけるバッファエラー - CVE-2021-3712 深刻度 - 中
脆弱性が悪用されると、OpenSSLを実行しているアプリケーションの動作が変更されたり、サービス運用妨害(DoS)攻撃が行われたりする可能性があります。
対象製品
AddPoint
影響の有無
影響あり (CVE-2021-3712のみ)
対象となる製品のバージョン
Addpoint/SA V6.5
対処方法
OpenSSLを1.1.1lにアップデートしてください。
WebOTX
影響の有無
影響あり (CVE-2021-3712のみ)
対象となる製品のバージョン
WebOTX Application Server Express V8.2~V10.4
WebOTX Application Server Standard V8.2~V10.4
WebOTX Application Server Enterprise V8.2~V9.6
WebOTX SIP Application Server Standard Edition V8.13
(※)WebOTX Enterprise Service Bus V8.2~V8.5、V9.2、V9.3、V10.1、V10.3、WebOTX Portal V8.2~V8.4、V9.1、V9.3、V10.1、V10.4にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。
(※)V8.2~V9.3はOpenSSLのバージョン1.0.2のWebサーバパッチモジュールを適用している場合に該当します。
対処方法
パッチの公開時期は現在検討中です。急ぎでパッチが必要な場合はサポートポータル経由でお問い合わせください。
https://www.support.nec.co.jp/View.aspx?id=3010103601
Elastic Matcher
影響の有無
影響あり
対象となる製品のバージョン
v1.3とそれ以前
対処方法
2021年12月リリースのバージョンを適用してください。
エッジゲートウェイ
影響の有無
影響あり
対象となる製品のバージョン
全てのバージョン
対処方法
OpenSSLを1.1.1lにアップデートしてください。
アップデートの手順は、以下になります。
1.事前準備
・build-essentialのインストール
# apt-get install -y build-essential
2.opensslのダウンロードとインストール
以下のコマンドをroot権限で実行
# mkdir /data/libinstall
# cd /data/libinstall
# wget https://www.openssl.org/source/openssl-1.1.1l.tar.gz
# tar -zxf openssl-1.1.1l.tar.gz
# cd openssl-1.1.1l
# ./config
# make ※実行完了まで15分程かかります。
# make test ※実行完了まで6分程かかります。
# mkdir /usr/bin/old_bin
# mv /usr/bin/openssl /usr/bin/old_bin/openssl_1.1.0l
# make install_sw ※実行完了まで1分程かかります。
# ln -s /usr/local/bin/openssl /usr/bin/openssl
# ldconfig
以下のコマンドでインストールバージョンを確認
# openssl version
※正しくインストールされている場合は以下のように表示されます。
OpenSSL 1.1.1l 24 Aug 2021
WitchyMail
影響の有無
影響あり
対象となる製品のバージョン
WitchyMailがインストールされているサーバのOpenSSLが
・1.0.2y 及び より前の 1.0.2 系のバージョンの場合
・1.1.1k 及び より前の 1.1.1 系のバージョンの場合
対処方法
OpenSSL 1.1.1 系については、最新版へアップデートを行ってください。
OpenSSL 1.0.2 系は、サポートが終了しているため、アップデートが配信されておりません。そのため、OpenSSL 1.0.2 プレミアムサポート契約ユーザを除き、OpenSSL 1.1.1lへのアップグレードを推奨いたします。
工場付加価値時間計測ソリューション
影響の有無
影響あり
対象となる製品のバージョン
V1.0.1
対処方法
V1.2.0以降のバージョンにて対応済みです。
NEC AI Accelerator
影響の有無
影響あり
対象となる製品のバージョン
全てのバージョン
対処方法
2021/12リリースのパッチを適用してください。
Mission Critical Mail
影響の有無
影響あり
対象となる製品のバージョン
全てのバージョン
対処方法
Mission Critical MailをインストールしているサーバOS
(RedHat Enterprise Linuxなど)の公開情報を参考にOpenSSLを更新してください。
CONNEXIVE PF
影響の有無
影響あり(基盤として利用しているWebOTX Application Serverで影響あり)
対象となる製品のバージョン
V7.0
対処方法
以下を参照してWebOTXの対処を実施してください。
https://www.support.nec.co.jp/View.aspx?id=3010103601
UNIVERGE IXシリーズ
影響の有無
Ver10.5.13以前 (CVE-2021-3712のみ)
対象となる製品のバージョン
最新版にてOpenSSL-1.1.1lにアップデート済みです。
ESMPRO/ServerAgent
影響の有無
影響あり(CVE-2021-3712のみ)
対象となる製品のバージョン
ESMPRO/ServerAgent(Linux) 全バージョン
ESMPRO/ServerAgent 4.4.22-1以降
対処方法
OpenSSLを脆弱性が修正されたパッケージにアップデートしてください。
※現時点でRedHat社から修正パッケージは提供されておりません。
修正パッケージが提供されると該当CVEページ(下記)に情報が掲載されますので、適宜該当CVEページをご確認の上、アップデートを実施してください。
https://access.redhat.com/security/cve/cve-2021-3712
NEC Cyber Security Platform
影響の有無
影響あり
対象となる製品のバージョン
V1.0~V2.0.7.1
V2.1.0.0~V3.0.0.1
対処方法
V2.0.7.3、V3.0.0.2で対応済みです。
UNIVERGE Integration Platform
影響の有無
影響あり
対象となる製品のバージョン
1.1.1f
対処方法
最新バージョンにて対応済みです。
SystemDirector Enterprise
影響の有無
影響あり
対象となる製品のバージョン
SystemDirector Enterprise for Java V5.1~7.2
対処方法
iStorageManager
影響の有無
影響あり
対象となる製品のバージョン
[iStorageManager]
以下のバージョンのiSMサーバ。
・Ver9.6~Ver12.2
・Ver12.3
かつ
iSMサーバのreadmeに表記されたバージョンが以下のもの
・Windows版 :12.3.007
・Linux 32ビット版:12.3.008, 12.3.009, 12.3.010
・Linux 64ビット版:12.3.007
・HP-UX版 :12.3.007
[iStorageManager Express]
以下のリビジョンのiStorage Mシリーズのストレージ制御ソフト。
・Mx20シリーズ :リビジョン 1010~1237
[iSMサーバ(V9.20)]
以下のバージョンのiSMサーバ。
iSMサーバのreadmeに表記されたバージョンが以下のもの
9.20.001~9.20.003
対処方法
以下のURLにて修正コンテンツを公開しています。(サポートポータルへのログインが必要です。)
・iStorageManager V12.3
【iStorage M/Aシリーズ】 WebSAM iStorageManager 修正情報 ISMS-ISM-12300167
https://www.support.nec.co.jp/View.aspx?id=9010110072
・ストレージ制御ソフト Mx20シリーズ
【iStorage Mシリーズ】 iStorage M12e/M120/M320/M320F/M520/M720/M720F向け最新標準修正
https://www.support.nec.co.jp/View.aspx?id=9010108058
・iSMサーバ(V9.20)
【iStorage M/Aシリーズ】 iStorageManager V9.20 修正情報 ISMS-ISM-09B00168
https://www.support.nec.co.jp/View.aspx?id=9010110073
得選街・GCB
影響の有無
影響あり (CVE-2021-3712のみ)
対象となる製品のバージョン
すべてのバージョン
対処方法
最新バージョンにて対応済みです。
EnterpriseIdentityManager
影響の有無
影響あり (CVE-2021-3712のみ)
対象となる製品のバージョン
Ver8.5以前
対処方法
Ver8.6以降への製品バージョンアップを実施してください。
もしくは、下記条件での運用による回避策を適用してください。
・EDSへの接続をEDSの提供機能からのみで実施
・EDSの符合化スイートの鍵交換にECDH(E)を指定しない
EnterpriseDirectoryServer
影響の有無
影響あり (CVE-2021-3712のみ)
対象となる製品のバージョン
Ver8.5以前
対処方法
Ver8.6以降への製品バージョンアップを実施してください。
もしくは、下記条件での運用による回避策を適用してください。
・EDSへの接続をEDSの提供機能からのみで実施
・EDSの符合化スイートの鍵交換にECDH(E)を指定しない
UNIVERGE Soft Client SP350
影響の有無
影響あり
対象となる製品のバージョン
SP350 R6.19まで
対処方法
SP350 R6.20にてOpenSSL 1.1.1nに更新済みです。
UNIVERGE WAシリーズ
影響の有無
影響あり
対象となる製品のバージョン
ver8.5.4以前
対処方法
ver8.5.35以降にバージョンアップしてください。
参考情報
OpenSSL Security Advisory [24 August 2021]
https://www.openssl.org/news/secadv/20210824.txt
JVNVU#99612123
https://jvn.jp/vu/JVNVU99612123/index.html
OpenSSLの脆弱性(CVE-2021-3711、CVE-2021-3712)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210036.html
更新情報
- 2023/04/21
-
UNIVERGE WAシリーズ を登録しました。
- 2023/03/27
-
iStorageManager, 得選街・GCB, EnterpriseIdentityManager, EnterpriseDirectoryServer, UNIVERGE Soft Client SP350 を登録しました。
- 2022/12/09
-
SystemDirector Enterprise を登録しました。
- 2022/08/05
-
NEC Cyber Security Platform, UNIVERGE Integration Platform を登録しました。
- 2022/04/15
-
ESMPRO/ServerAgent を登録しました。
- 2022/03/09
-
UNIVERGE IXシリーズ を登録しました。
- 2022/01/25
-
Elastic Matcher, エッジゲートウェイ, NEC AI Accelerator, 工場付加価値時間計測ソリューション, WitchyMail, CONNEXIVE PF, Mission Critical Mail を登録しました。
- 2021/10/29
-
AddPoint, WebOTX を登録しました。