Japan

関連リンク

関連リンク

関連リンク

関連リンク

OpenSSLに複数の脆弱性

掲載番号:NV21-020
脆弱性情報識別番号:JVNVU#99612123

概要

OpenSSLには、次の脆弱性が存在します。
・SM2暗号データの復号処理におけるバッファオーバーフロー - CVE-2021-3711 深刻度 - 高
・ASN.1文字列処理におけるバッファエラー - CVE-2021-3712 深刻度 - 中
脆弱性が悪用されると、OpenSSLを実行しているアプリケーションの動作が変更されたり、サービス運用妨害(DoS)攻撃が行われたりする可能性があります。

対象製品

AddPoint

影響の有無

影響あり (CVE-2021-3712のみ)

対象となる製品のバージョン

Addpoint/SA V6.5

対処方法

OpenSSLを1.1.1lにアップデートしてください。

WebOTX

影響の有無

影響あり (CVE-2021-3712のみ)

対象となる製品のバージョン

WebOTX Application Server Express V8.2~V10.4
WebOTX Application Server Standard V8.2~V10.4
WebOTX Application Server Enterprise V8.2~V9.6
WebOTX SIP Application Server Standard Edition V8.13

(※)WebOTX Enterprise Service Bus V8.2~V8.5、V9.2、V9.3、V10.1、V10.3、WebOTX Portal V8.2~V8.4、V9.1、V9.3、V10.1、V10.4にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。
(※)V8.2~V9.3はOpenSSLのバージョン1.0.2のWebサーバパッチモジュールを適用している場合に該当します。

対処方法

パッチの公開時期は現在検討中です。急ぎでパッチが必要な場合はサポートポータル経由でお問い合わせください。
https://www.support.nec.co.jp/View.aspx?id=3010103601

Elastic Matcher

影響の有無

影響あり

対象となる製品のバージョン

v1.3とそれ以前

対処方法

2021年12月リリースのバージョンを適用してください。

エッジゲートウェイ

影響の有無

影響あり

対象となる製品のバージョン

全てのバージョン

対処方法

OpenSSLを1.1.1lにアップデートしてください。
アップデートの手順は、以下になります。

1.事前準備
 ・build-essentialのインストール
  # apt-get install -y build-essential
 
2.opensslのダウンロードとインストール
 
 以下のコマンドをroot権限で実行
  # mkdir /data/libinstall
  # cd /data/libinstall
  # wget https://www.openssl.org/source/openssl-1.1.1l.tar.gz
  # tar -zxf openssl-1.1.1l.tar.gz
  # cd openssl-1.1.1l
  # ./config
  # make       ※実行完了まで15分程かかります。
  # make test  ※実行完了まで6分程かかります。
  # mkdir /usr/bin/old_bin
  # mv /usr/bin/openssl  /usr/bin/old_bin/openssl_1.1.0l
  # make install_sw  ※実行完了まで1分程かかります。
  # ln -s /usr/local/bin/openssl /usr/bin/openssl
  # ldconfig
 
 以下のコマンドでインストールバージョンを確認
  # openssl version
  ※正しくインストールされている場合は以下のように表示されます。
  OpenSSL 1.1.1l  24 Aug 2021

WitchyMail

影響の有無

影響あり

対象となる製品のバージョン

WitchyMailがインストールされているサーバのOpenSSLが
・1.0.2y 及び より前の 1.0.2 系のバージョンの場合
・1.1.1k 及び より前の 1.1.1 系のバージョンの場合

対処方法

OpenSSL 1.1.1 系については、最新版へアップデートを行ってください。
OpenSSL 1.0.2 系は、サポートが終了しているため、アップデートが配信されておりません。そのため、OpenSSL 1.0.2 プレミアムサポート契約ユーザを除き、OpenSSL 1.1.1lへのアップグレードを推奨いたします。

工場付加価値時間計測ソリューション

影響の有無

影響あり

対象となる製品のバージョン

V1.0.1

対処方法

V1.2.0以降のバージョンにて対応済みです。

NEC AI Accelerator

影響の有無

影響あり

対象となる製品のバージョン

全てのバージョン

対処方法

2021/12リリースのパッチを適用してください。

Mission Critical Mail

影響の有無

影響あり

対象となる製品のバージョン

全てのバージョン

対処方法

Mission Critical MailをインストールしているサーバOS
(RedHat Enterprise Linuxなど)の公開情報を参考にOpenSSLを更新してください。

CONNEXIVE PF

影響の有無

影響あり(基盤として利用しているWebOTX Application Serverで影響あり)

対象となる製品のバージョン

V7.0

対処方法

以下を参照してWebOTXの対処を実施してください。
https://www.support.nec.co.jp/View.aspx?id=3010103601

UNIVERGE IXシリーズ

影響の有無

Ver10.5.13以前 (CVE-2021-3712のみ)

対象となる製品のバージョン

最新版にてOpenSSL-1.1.1lにアップデート済みです。

ESMPRO/ServerAgent

影響の有無

影響あり(CVE-2021-3712のみ)

対象となる製品のバージョン

ESMPRO/ServerAgent(Linux) 全バージョン
ESMPRO/ServerAgent 4.4.22-1以降

対処方法

OpenSSLを脆弱性が修正されたパッケージにアップデートしてください。
※現時点でRedHat社から修正パッケージは提供されておりません。
 修正パッケージが提供されると該当CVEページ(下記)に情報が掲載されますので、適宜該当CVEページをご確認の上、アップデートを実施してください。
https://access.redhat.com/security/cve/cve-2021-3712

NEC Cyber Security Platform

影響の有無

影響あり

対象となる製品のバージョン

V1.0~V2.0.7.1
V2.1.0.0~V3.0.0.1

対処方法

V2.0.7.3、V3.0.0.2で対応済みです。

UNIVERGE Integration Platform

影響の有無

影響あり

対象となる製品のバージョン

1.1.1f

対処方法

最新バージョンにて対応済みです。

SystemDirector Enterprise

影響の有無

影響あり

対象となる製品のバージョン

SystemDirector Enterprise for Java V5.1~7.2

対処方法

下記ページの対処を実施してください。
http://www.spi.nec.co.jp/htmls/sdtools/dl/sde/notice/caution_java-openssl.txt

iStorageManager

影響の有無

影響あり

対象となる製品のバージョン

[iStorageManager]
  以下のバージョンのiSMサーバ。
   ・Ver9.6~Ver12.2
   ・Ver12.3
    かつ
    iSMサーバのreadmeに表記されたバージョンが以下のもの
    ・Windows版    :12.3.007
    ・Linux 32ビット版:12.3.008, 12.3.009, 12.3.010
    ・Linux 64ビット版:12.3.007
    ・HP-UX版     :12.3.007

 [iStorageManager Express]
  以下のリビジョンのiStorage Mシリーズのストレージ制御ソフト。
   ・Mx20シリーズ     :リビジョン 1010~1237

 [iSMサーバ(V9.20)]
  以下のバージョンのiSMサーバ。
   iSMサーバのreadmeに表記されたバージョンが以下のもの
    9.20.001~9.20.003

対処方法

以下のURLにて修正コンテンツを公開しています。(サポートポータルへのログインが必要です。)
・iStorageManager V12.3
【iStorage M/Aシリーズ】 WebSAM iStorageManager 修正情報 ISMS-ISM-12300167
https://www.support.nec.co.jp/View.aspx?id=9010110072
・ストレージ制御ソフト Mx20シリーズ
【iStorage Mシリーズ】 iStorage M12e/M120/M320/M320F/M520/M720/M720F向け最新標準修正
https://www.support.nec.co.jp/View.aspx?id=9010108058
・iSMサーバ(V9.20)
【iStorage M/Aシリーズ】 iStorageManager V9.20 修正情報 ISMS-ISM-09B00168
https://www.support.nec.co.jp/View.aspx?id=9010110073

得選街・GCB

影響の有無

影響あり (CVE-2021-3712のみ)

対象となる製品のバージョン

すべてのバージョン

対処方法

最新バージョンにて対応済みです。

EnterpriseIdentityManager

影響の有無

影響あり (CVE-2021-3712のみ)

対象となる製品のバージョン

Ver8.5以前

対処方法

Ver8.6以降への製品バージョンアップを実施してください。
もしくは、下記条件での運用による回避策を適用してください。
 ・EDSへの接続をEDSの提供機能からのみで実施
 ・EDSの符合化スイートの鍵交換にECDH(E)を指定しない

EnterpriseDirectoryServer

影響の有無

影響あり (CVE-2021-3712のみ)

対象となる製品のバージョン

Ver8.5以前

対処方法

Ver8.6以降への製品バージョンアップを実施してください。
もしくは、下記条件での運用による回避策を適用してください。
 ・EDSへの接続をEDSの提供機能からのみで実施
 ・EDSの符合化スイートの鍵交換にECDH(E)を指定しない

UNIVERGE Soft Client SP350

影響の有無

影響あり

対象となる製品のバージョン

SP350 R6.19まで

対処方法

SP350 R6.20にてOpenSSL 1.1.1nに更新済みです。

UNIVERGE WAシリーズ

影響の有無

影響あり

対象となる製品のバージョン

ver8.5.4以前

対処方法

ver8.5.35以降にバージョンアップしてください。

参考情報

OpenSSL Security Advisory [24 August 2021]
https://www.openssl.org/news/secadv/20210824.txt

JVNVU#99612123
https://jvn.jp/vu/JVNVU99612123/index.html

OpenSSLの脆弱性(CVE-2021-3711、CVE-2021-3712)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210036.html

更新情報

2023/04/21
UNIVERGE WAシリーズ を登録しました。
2023/03/27
iStorageManager, 得選街・GCB, EnterpriseIdentityManager, EnterpriseDirectoryServer, UNIVERGE Soft Client SP350 を登録しました。
2022/12/09
SystemDirector Enterprise を登録しました。
2022/08/05
NEC Cyber Security Platform, UNIVERGE Integration Platform を登録しました。
2022/04/15
ESMPRO/ServerAgent を登録しました。
2022/03/09
UNIVERGE IXシリーズ を登録しました。
2022/01/25
Elastic Matcher, エッジゲートウェイ, NEC AI Accelerator, 工場付加価値時間計測ソリューション, WitchyMail, CONNEXIVE PF, Mission Critical Mail を登録しました。
2021/10/29
AddPoint, WebOTX を登録しました。
Escキーで閉じる 閉じる