OpenSSLのBN_mod_sqrt()における法が非素数のときに無限ループを引き起こす問題

掲載番号:NV22-006
脆弱性情報識別番号:JVNVU90813125

概要

不正な楕円曲線パラメータを含む証明書や秘密鍵などをパースすることで無限ループを引き起こされ、サービス運用妨害(DoS)状態になる可能性があります。この問題は次の状況で起こる可能性があります。

・TLSクライアントがサーバ証明書を処理する
・TLSサーバがクライアント証明書を処理する
・ホスティングサービス事業者が顧客から受け取った証明書や秘密鍵を処理する
・認証局が契約者から受け取ったCSR (証明書署名要求) データを処理する
・その他、ASN.1形式の楕円曲線パラメータを処理する場合

対象製品

WebOTX

対象となる製品のバージョン

WebOTX Application Server Express V8.2~V10.4
WebOTX Application Server Standard V8.2~V10.4
WebOTX Application Server Enterprise V8.2~V9.6
WebOTX SIP Application Server Standard Edition V8.13

(※)WebOTX Enterprise Service Bus V8.2~V8.5、V9.2、V9.3、V10.1、V10.3、WebOTX Portal V8.2~V8.4、V9.1、V9.3、V10.1、V10.4にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。
(※)V8.2~V9.3はOpenSSLのバージョン1.0.2/1.1.1(1.1.1m以前)のWebサーバパッチモジュールを適用している場合に該当します。

対処方法

下記ページの対処を参照し、パッチを適用してください。
https://www.support.nec.co.jp/View.aspx?id=3010103855

エッジゲートウェイ

対象となる製品のバージョン

すべてのバージョン

対処方法

opensslパッケージを 1.1.0l-1~deb9u5 にアップデートしてください。

ESMPRO/ServerAgent

対象となる製品のバージョン

4.4.22-1以降

対処方法

以下のページを参照して、OpenSSLを脆弱性が修正されたパッケージにアップデートしてください。
https://www.support.nec.co.jp/View.aspx?id=3150116031

ESMPRO/ServerAgentService

対象となる製品のバージョン

すべてのバージョン

対処方法

以下のページを参照して、OpenSSLを脆弱性が修正されたパッケージにアップデートしてください。
https://www.support.nec.co.jp/View.aspx?id=3150116031

Mission Critical Mail

対象となる製品のバージョン

すべてのバージョン

対処方法

ご利用OSのサポート情報に従い、OpenSSLを脆弱性が修正されたパッケージにアップデートしてください。

NeoFace Monitor

対象となる製品のバージョン

1.0.2k-19.amzn2.0.4
1.0.2k-19.amzn2.0.10
1.1.0.0000
1.2.0

対処方法

以下のバージョンにアップデートして対応済みです。
1.0.2k-24.amzn2.0.2
1.0.2k-24.amzn2.0.2
1.1.0.1000
1.2.1

WitchyMail

対象となる製品のバージョン

WitchyMailがインストールされているサーバのOpenSSLが 1.0.2、1.1.1、3.0 系のバージョンの場合

対処方法

ご利用OSのサポート情報に従い、OpenSSLを脆弱性が修正されたパッケージにアップデートしてください。

IoT共通基盤

対象となる製品のバージョン

IoT基盤サービス移行専用ライセンス

対処方法

以下を参照して対処を実施してください。
https://support.pf.nec.co.jp/View.aspx?id=9010110254

CONNEXIVE PF

対象となる製品のバージョン

V7.0(アプリケーション実行基盤として利用しているWebOTXが脆弱性の影響を受けるため)

対処方法

以下を参照して、WebOTX Application Serverの対処を実施してください。
https://www.support.nec.co.jp/View.aspx?id=3010103855

CONNEXIVE Application Platform

対象となる製品のバージョン

V2.0

対処方法

以下を参照して対処を実施してください。
https://www.support.nec.co.jp/View.aspx?id=9010110254

NEC Cyber Security Platform

対象となる製品のバージョン

NCSP エージェント
 V1.0-V2.0.7.4
 V2.1-V3.0.0.4

対処方法

NCSPエージェントV2.0.7.4にて対応済みです。

IXルータ

対象となる製品のバージョン

IX3315,IX3110,IX3015,IX2310,IX2235,IX2215,IX2207,X2106,IX2105 (ゼロコンフィグモデルを含む)
IX2025
Ver.9.3.12以降

対処方法

Ver10.6.63/Ver10.5.27/Ver.10.2.39(IX2105のみ)以降で対応済みです。

ActSecureポータル

対象となる製品のバージョン

すべてのバージョン

対処方法

2022年11月のアップグレードにて対応済みです。
※ActSecureポータルをご利用の方は、対処不要です。

UNIVERGE Soft Client SP350

対象となる製品のバージョン

SP350 R6.19まで

対処方法

SP350 R6.20にて対応済みです。

iStorageManager

対象となる製品のバージョン

[iStorageManager]
  以下のバージョンのiSMサーバ。
   ・Ver9.4.006以上、Ver12.3.011以下

 [iStorageManager Experss]
  以下のリビジョンのiStorage Mシリーズのストレージ制御ソフト
   M12e/M120/M320/M320F/M520/M720/M720F:1238以下

 [iSMサーバ(V9.20)]
  以下のバージョンのiSMサーバ
   iSMサーバ(V9.20)のreadmeに表記されたバージョンが以下のもの
    9.20.001以上、9.20.004以下

対処方法

以下のURLにて修正コンテンツを公開しています。
※NECサポートポータルへのログインが必要です。

・iStorageManager Ver12.3
【iStorage M/Aシリーズ】 WebSAM iStorageManager 修正情報 ISMS-ISM-12300170
https://www.support.nec.co.jp/View.aspx?id=9010110357

・ストレージ制御ソフト Mx20シリーズ
【iStorage Mシリーズ】 iStorage M12e/M120/M320/M320F/M520/M720/M720F向け最新標準修正
https://www.support.nec.co.jp/View.aspx?id=9010109399

・iSMサーバ(V9.20)
【iStorage M/Aシリーズ】 iStorageManager V9.20 修正情報 ISMS-ISM-09B00171
https://www.support.nec.co.jp/View.aspx?id=9010110358

参考情報

更新情報

2023/03/27
ActSecureポータル, UNIVERGE Soft Client SP350, iStorageManager を登録しました。
2022/12/09
IoT共通基盤, CONNEXIVE PF, CONNEXIVE Application Platform, NEC Cyber Security Platform, IXルータ を登録しました。
2022/09/22
Mission Critical Mail, NeoFace Monitor, WitchyMail を登録しました。
2022/08/05
WebOTX, エッジゲートウェイ, ESMPRO/ServerAgent, ESMPRO/ServerAgentService を登録しました。