Japan

サイト内の現在位置

OpenSSLのBN_mod_sqrt()における法が非素数のときに無限ループを引き起こす問題

掲載番号:NV22-006
脆弱性情報識別番号:JVNVU90813125

概要

不正な楕円曲線パラメータを含む証明書や秘密鍵などをパースすることで無限ループを引き起こされ、サービス運用妨害(DoS)状態になる可能性があります。この問題は次の状況で起こる可能性があります。

・TLSクライアントがサーバ証明書を処理する
・TLSサーバがクライアント証明書を処理する
・ホスティングサービス事業者が顧客から受け取った証明書や秘密鍵を処理する
・認証局が契約者から受け取ったCSR (証明書署名要求) データを処理する
・その他、ASN.1形式の楕円曲線パラメータを処理する場合

対象製品

WebOTX

対象となる製品のバージョン

WebOTX Application Server Express V8.2~V10.4
WebOTX Application Server Standard V8.2~V10.4
WebOTX Application Server Enterprise V8.2~V9.6
WebOTX SIP Application Server Standard Edition V8.13

(※)WebOTX Enterprise Service Bus V8.2~V8.5、V9.2、V9.3、V10.1、V10.3、WebOTX Portal V8.2~V8.4、V9.1、V9.3、V10.1、V10.4にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。
(※)V8.2~V9.3はOpenSSLのバージョン1.0.2/1.1.1(1.1.1m以前)のWebサーバパッチモジュールを適用している場合に該当します。

対処方法

下記ページの対処を参照し、パッチを適用してください。
https://www.support.nec.co.jp/View.aspx?id=3010103855

エッジゲートウェイ

対象となる製品のバージョン

すべてのバージョン

対処方法

opensslパッケージを 1.1.0l-1~deb9u5 にアップデートしてください。

ESMPRO/ServerAgent

対象となる製品のバージョン

4.4.22-1以降

対処方法

以下のページを参照して、OpenSSLを脆弱性が修正されたパッケージにアップデートしてください。
https://www.support.nec.co.jp/View.aspx?id=3150116031

ESMPRO/ServerAgentService

対象となる製品のバージョン

すべてのバージョン

対処方法

以下のページを参照して、OpenSSLを脆弱性が修正されたパッケージにアップデートしてください。
https://www.support.nec.co.jp/View.aspx?id=3150116031

Mission Critical Mail

対象となる製品のバージョン

すべてのバージョン

対処方法

ご利用OSのサポート情報に従い、OpenSSLを脆弱性が修正されたパッケージにアップデートしてください。

NeoFace Monitor

対象となる製品のバージョン

1.0.2k-19.amzn2.0.4
1.0.2k-19.amzn2.0.10
1.1.0.0000
1.2.0

対処方法

以下のバージョンにアップデートして対応済みです。
1.0.2k-24.amzn2.0.2
1.0.2k-24.amzn2.0.2
1.1.0.1000
1.2.1

WitchyMail

対象となる製品のバージョン

WitchyMailがインストールされているサーバのOpenSSLが 1.0.2、1.1.1、3.0 系のバージョンの場合

対処方法

ご利用OSのサポート情報に従い、OpenSSLを脆弱性が修正されたパッケージにアップデートしてください。

参考情報

JVNVU#90813125
https://jvn.jp/vu/JVNVU90813125/index.html

OpenSSL Security Advisory [15 March 2022]
https://www.openssl.org/news/secadv/20220315.txt

CVE-2022-0778 (OpenSSL advisory) [High severity] 15 March 2022
https://www.openssl.org/news/vulnerabilities.html#y2022

Debian
https://security-tracker.debian.org/tracker/CVE-2022-0778

Red Hat Enterprise Linux/CentOS
https://access.redhat.com/security/cve/CVE-2022-0778

Ubuntu
https://people.canonical.com/~ubuntu-security/cve/2021/CVE-2022-0778.html

SUSE/openSUSE
https://www.suse.com/security/cve/CVE-2022-0778.html

更新情報

2022/09/22
Mission Critical Mail, NeoFace Monitor, WitchyMail を登録しました。
2022/08/05
WebOTX, エッジゲートウェイ, ESMPRO/ServerAgent, ESMPRO/ServerAgentService を登録しました。