サイト内の現在位置

OpenSSLに複数の脆弱性

掲載番号:NV21-020
脆弱性情報識別番号:JVNVU#99612123

概要

OpenSSLには、次の脆弱性が存在します。
・SM2暗号データの復号処理におけるバッファオーバーフロー - CVE-2021-3711 深刻度 - 高
・ASN.1文字列処理におけるバッファエラー - CVE-2021-3712 深刻度 - 中
脆弱性が悪用されると、OpenSSLを実行しているアプリケーションの動作が変更されたり、サービス運用妨害(DoS)攻撃が行われたりする可能性があります。

対象製品

AddPoint

影響の有無

影響あり (CVE-2021-3712のみ)

対象となる製品のバージョン

Addpoint/SA V6.5

対処方法

OpenSSLを1.1.1lにアップデートしてください。

WebOTX

影響の有無

影響あり (CVE-2021-3712のみ)

対象となる製品のバージョン

WebOTX Application Server Express V8.2~V10.4
WebOTX Application Server Standard V8.2~V10.4
WebOTX Application Server Enterprise V8.2~V9.6
WebOTX SIP Application Server Standard Edition V8.13

(※)WebOTX Enterprise Service Bus V8.2~V8.5、V9.2、V9.3、V10.1、V10.3、WebOTX Portal V8.2~V8.4、V9.1、V9.3、V10.1、V10.4にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。
(※)V8.2~V9.3はOpenSSLのバージョン1.0.2のWebサーバパッチモジュールを適用している場合に該当します。

対処方法

パッチの公開時期は現在検討中です。急ぎでパッチが必要な場合はサポートポータル経由でお問い合わせください。
https://www.support.nec.co.jp/View.aspx?id=3010103601

参考情報

OpenSSL Security Advisory [24 August 2021]
https://www.openssl.org/news/secadv/20210824.txt

JVNVU#99612123
https://jvn.jp/vu/JVNVU99612123/index.html

OpenSSLの脆弱性(CVE-2021-3711、CVE-2021-3712)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210036.html

更新情報

2021/10/29
AddPoint, ESMPRO/ServerAgentService を登録しました。