サイト内の現在位置

OpenSSLのBN_mod_sqrt()における法が非素数のときに無限ループを引き起こす問題

掲載番号:NV22-006
脆弱性情報識別番号:JVNVU90813125

概要

不正な楕円曲線パラメータを含む証明書や秘密鍵などをパースすることで無限ループを引き起こされ、サービス運用妨害(DoS)状態になる可能性があります。この問題は次の状況で起こる可能性があります。

・TLSクライアントがサーバ証明書を処理する
・TLSサーバがクライアント証明書を処理する
・ホスティングサービス事業者が顧客から受け取った証明書や秘密鍵を処理する
・認証局が契約者から受け取ったCSR (証明書署名要求) データを処理する
・その他、ASN.1形式の楕円曲線パラメータを処理する場合

対象製品

WebOTX

対象となる製品のバージョン

WebOTX Application Server Express V8.2~V10.4
WebOTX Application Server Standard V8.2~V10.4
WebOTX Application Server Enterprise V8.2~V9.6
WebOTX SIP Application Server Standard Edition V8.13

(※)WebOTX Enterprise Service Bus V8.2~V8.5、V9.2、V9.3、V10.1、V10.3、WebOTX Portal V8.2~V8.4、V9.1、V9.3、V10.1、V10.4にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。
(※)V8.2~V9.3はOpenSSLのバージョン1.0.2/1.1.1(1.1.1m以前)のWebサーバパッチモジュールを適用している場合に該当します。

対処方法

下記ページの対処を参照し、パッチを適用してください。
https://www.support.nec.co.jp/View.aspx?id=3010103855

エッジゲートウェイ

対象となる製品のバージョン

すべてのバージョン

対処方法

opensslパッケージを 1.1.0l-1~deb9u5 にアップデートしてください。

ESMPRO/ServerAgent

対象となる製品のバージョン

4.4.22-1以降

対処方法

以下のページを参照して、OpenSSLを脆弱性が修正されたパッケージにアップデートしてください。
https://www.support.nec.co.jp/View.aspx?id=3150116031

ESMPRO/ServerAgentService

対象となる製品のバージョン

すべてのバージョン

対処方法

以下のページを参照して、OpenSSLを脆弱性が修正されたパッケージにアップデートしてください。
https://www.support.nec.co.jp/View.aspx?id=3150116031

参考情報

更新情報

2022/08/05
WebOTX, エッジゲートウェイ, ESMPRO/ServerAgent, ESMPRO/ServerAgentService を登録しました。