Japan
サイト内の現在位置
OpenSSLのBN_mod_sqrt()における法が非素数のときに無限ループを引き起こす問題
掲載番号:NV22-006
脆弱性情報識別番号:JVNVU90813125
概要
不正な楕円曲線パラメータを含む証明書や秘密鍵などをパースすることで無限ループを引き起こされ、サービス運用妨害(DoS)状態になる可能性があります。この問題は次の状況で起こる可能性があります。
・TLSクライアントがサーバ証明書を処理する
・TLSサーバがクライアント証明書を処理する
・ホスティングサービス事業者が顧客から受け取った証明書や秘密鍵を処理する
・認証局が契約者から受け取ったCSR (証明書署名要求) データを処理する
・その他、ASN.1形式の楕円曲線パラメータを処理する場合
対象製品
WebOTX
対象となる製品のバージョン
WebOTX Application Server Express V8.2~V10.4
WebOTX Application Server Standard V8.2~V10.4
WebOTX Application Server Enterprise V8.2~V9.6
WebOTX SIP Application Server Standard Edition V8.13
(※)WebOTX Enterprise Service Bus V8.2~V8.5、V9.2、V9.3、V10.1、V10.3、WebOTX Portal V8.2~V8.4、V9.1、V9.3、V10.1、V10.4にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。
(※)V8.2~V9.3はOpenSSLのバージョン1.0.2/1.1.1(1.1.1m以前)のWebサーバパッチモジュールを適用している場合に該当します。
対処方法
下記ページの対処を参照し、パッチを適用してください。
https://www.support.nec.co.jp/View.aspx?id=3010103855
エッジゲートウェイ
対象となる製品のバージョン
すべてのバージョン
対処方法
opensslパッケージを 1.1.0l-1~deb9u5 にアップデートしてください。
ESMPRO/ServerAgent
対象となる製品のバージョン
4.4.22-1以降
対処方法
以下のページを参照して、OpenSSLを脆弱性が修正されたパッケージにアップデートしてください。
https://www.support.nec.co.jp/View.aspx?id=3150116031
ESMPRO/ServerAgentService
対象となる製品のバージョン
すべてのバージョン
対処方法
以下のページを参照して、OpenSSLを脆弱性が修正されたパッケージにアップデートしてください。
https://www.support.nec.co.jp/View.aspx?id=3150116031
参考情報
JVNVU#90813125
https://jvn.jp/vu/JVNVU90813125/index.html
OpenSSL Security Advisory [15 March 2022]
https://www.openssl.org/news/secadv/20220315.txt
CVE-2022-0778 (OpenSSL advisory) [High severity] 15 March 2022
https://www.openssl.org/news/vulnerabilities.html#y2022
Debian
https://security-tracker.debian.org/tracker/CVE-2022-0778
Red Hat Enterprise Linux/CentOS
https://access.redhat.com/security/cve/CVE-2022-0778
Ubuntu
https://people.canonical.com/~ubuntu-security/cve/2021/CVE-2022-0778.html
SUSE/openSUSE
https://www.suse.com/security/cve/CVE-2022-0778.html
更新情報
- 2022/08/05
-
WebOTX, エッジゲートウェイ, ESMPRO/ServerAgent, ESMPRO/ServerAgentService を登録しました。