サイト内の現在位置

OpenSSLに複数の脆弱性

掲載番号:NV21-020
脆弱性情報識別番号:JVNVU#99612123

概要

OpenSSLには、次の脆弱性が存在します。
・SM2暗号データの復号処理におけるバッファオーバーフロー - CVE-2021-3711 深刻度 - 高
・ASN.1文字列処理におけるバッファエラー - CVE-2021-3712 深刻度 - 中
脆弱性が悪用されると、OpenSSLを実行しているアプリケーションの動作が変更されたり、サービス運用妨害(DoS)攻撃が行われたりする可能性があります。

対象製品

AddPoint

影響の有無

影響あり (CVE-2021-3712のみ)

対象となる製品のバージョン

Addpoint/SA V6.5

対処方法

OpenSSLを1.1.1lにアップデートしてください。

WebOTX

影響の有無

影響あり (CVE-2021-3712のみ)

対象となる製品のバージョン

WebOTX Application Server Express V8.2~V10.4
WebOTX Application Server Standard V8.2~V10.4
WebOTX Application Server Enterprise V8.2~V9.6
WebOTX SIP Application Server Standard Edition V8.13

(※)WebOTX Enterprise Service Bus V8.2~V8.5、V9.2、V9.3、V10.1、V10.3、WebOTX Portal V8.2~V8.4、V9.1、V9.3、V10.1、V10.4にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。
(※)V8.2~V9.3はOpenSSLのバージョン1.0.2のWebサーバパッチモジュールを適用している場合に該当します。

対処方法

パッチの公開時期は現在検討中です。急ぎでパッチが必要な場合はサポートポータル経由でお問い合わせください。
https://www.support.nec.co.jp/View.aspx?id=3010103601

Elastic Matcher

影響の有無

影響あり

対象となる製品のバージョン

v1.3とそれ以前

対処方法

2021年12月リリースのバージョンを適用してください。

エッジゲートウェイ

影響の有無

影響あり

対象となる製品のバージョン

全てのバージョン

対処方法

OpenSSLを1.1.1lにアップデートしてください。
アップデートの手順は、以下になります。

1.事前準備
 ・build-essentialのインストール
  # apt-get install -y build-essential
 
2.opensslのダウンロードとインストール
 
 以下のコマンドをroot権限で実行
  # mkdir /data/libinstall
  # cd /data/libinstall
  # wget https://www.openssl.org/source/openssl-1.1.1l.tar.gz
  # tar -zxf openssl-1.1.1l.tar.gz
  # cd openssl-1.1.1l
  # ./config
  # make       ※実行完了まで15分程かかります。
  # make test  ※実行完了まで6分程かかります。
  # mkdir /usr/bin/old_bin
  # mv /usr/bin/openssl  /usr/bin/old_bin/openssl_1.1.0l
  # make install_sw  ※実行完了まで1分程かかります。
  # ln -s /usr/local/bin/openssl /usr/bin/openssl
  # ldconfig
 
 以下のコマンドでインストールバージョンを確認
  # openssl version
  ※正しくインストールされている場合は以下のように表示されます。
  OpenSSL 1.1.1l  24 Aug 2021

WitchyMail

影響の有無

影響あり

対象となる製品のバージョン

WitchyMailがインストールされているサーバのOpenSSLが
・1.0.2y 及び より前の 1.0.2 系のバージョンの場合
・1.1.1k 及び より前の 1.1.1 系のバージョンの場合

対処方法

OpenSSL 1.1.1 系については、最新版へアップデートを行ってください。
OpenSSL 1.0.2 系は、サポートが終了しているため、アップデートが配信されておりません。そのため、OpenSSL 1.0.2 プレミアムサポート契約ユーザを除き、OpenSSL 1.1.1lへのアップグレードを推奨いたします。

工場付加価値時間計測ソリューション

影響の有無

影響あり

対象となる製品のバージョン

V1.0.1

対処方法

V1.2.0以降のバージョンにて対応済みです。

NEC AI Accelerator

影響の有無

影響あり

対象となる製品のバージョン

全てのバージョン

対処方法

2021/12リリースのパッチを適用してください。

Mission Critical Mail

影響の有無

影響あり

対象となる製品のバージョン

全てのバージョン

対処方法

Mission Critical MailをインストールしているサーバOS
(RedHat Enterprise Linuxなど)の公開情報を参考にOpenSSLを更新してください。

CONNEXIVE PF

影響の有無

影響あり(基盤として利用しているWebOTX Application Serverで影響あり)

対象となる製品のバージョン

V7.0

対処方法

以下を参照してWebOTXの対処を実施してください。
https://www.support.nec.co.jp/View.aspx?id=3010103601

UNIVERGE IXシリーズ

影響の有無

Ver10.5.13以前 (CVE-2021-3712のみ)

対象となる製品のバージョン

最新版にてOpenSSL-1.1.1lにアップデート済みです。

ESMPRO/ServerAgent

影響の有無

影響あり(CVE-2021-3712のみ)

対象となる製品のバージョン

ESMPRO/ServerAgent(Linux) 全バージョン
ESMPRO/ServerAgent 4.4.22-1以降

対処方法

OpenSSLを脆弱性が修正されたパッケージにアップデートしてください。
※現時点でRedHat社から修正パッケージは提供されておりません。
 修正パッケージが提供されると該当CVEページ(下記)に情報が掲載されますので、適宜該当CVEページをご確認の上、アップデートを実施してください。
https://access.redhat.com/security/cve/cve-2021-3712

参考情報

OpenSSL Security Advisory [24 August 2021]
https://www.openssl.org/news/secadv/20210824.txt

JVNVU#99612123
https://jvn.jp/vu/JVNVU99612123/index.html

OpenSSLの脆弱性(CVE-2021-3711、CVE-2021-3712)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210036.html

更新情報

2022/04/15
ESMPRO/ServerAgent を登録しました。
2022/03/09
UNIVERGE IXシリーズ を登録しました。
2022/01/25
Elastic Matcher, エッジゲートウェイ, NEC AI Accelerator, 工場付加価値時間計測ソリューション, WitchyMail, CONNEXIVE PF, Mission Critical Mail を登録しました。
2021/10/29
AddPoint, WebOTX を登録しました。