OpenSSLのBN_mod_sqrt()における法が非素数のときに無限ループを引き起こす問題

掲載番号:NV22-006
脆弱性情報識別番号:JVNVU90813125

概要

不正な楕円曲線パラメータを含む証明書や秘密鍵などをパースすることで無限ループを引き起こされ、サービス運用妨害(DoS)状態になる可能性があります。この問題は次の状況で起こる可能性があります。

・TLSクライアントがサーバ証明書を処理する
・TLSサーバがクライアント証明書を処理する
・ホスティングサービス事業者が顧客から受け取った証明書や秘密鍵を処理する
・認証局が契約者から受け取ったCSR (証明書署名要求) データを処理する
・その他、ASN.1形式の楕円曲線パラメータを処理する場合

対象製品

WebOTX

対象となる製品のバージョン

WebOTX Application Server Express V8.2~V10.4
WebOTX Application Server Standard V8.2~V10.4
WebOTX Application Server Enterprise V8.2~V9.6
WebOTX SIP Application Server Standard Edition V8.13

(※)WebOTX Enterprise Service Bus V8.2~V8.5、V9.2、V9.3、V10.1、V10.3、WebOTX Portal V8.2~V8.4、V9.1、V9.3、V10.1、V10.4にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。
(※)V8.2~V9.3はOpenSSLのバージョン1.0.2/1.1.1(1.1.1m以前)のWebサーバパッチモジュールを適用している場合に該当します。

対処方法

下記ページの対処を参照し、パッチを適用してください。
https://www.support.nec.co.jp/View.aspx?id=3010103855

エッジゲートウェイ

対象となる製品のバージョン

すべてのバージョン

対処方法

opensslパッケージを 1.1.0l-1~deb9u5 にアップデートしてください。

ESMPRO/ServerAgent

対象となる製品のバージョン

4.4.22-1以降

対処方法

以下のページを参照して、OpenSSLを脆弱性が修正されたパッケージにアップデートしてください。
https://www.support.nec.co.jp/View.aspx?id=3150116031

ESMPRO/ServerAgentService

対象となる製品のバージョン

すべてのバージョン

対処方法

以下のページを参照して、OpenSSLを脆弱性が修正されたパッケージにアップデートしてください。
https://www.support.nec.co.jp/View.aspx?id=3150116031

Mission Critical Mail

対象となる製品のバージョン

すべてのバージョン

対処方法

ご利用OSのサポート情報に従い、OpenSSLを脆弱性が修正されたパッケージにアップデートしてください。

NeoFace Monitor

対象となる製品のバージョン

1.0.2k-19.amzn2.0.4
1.0.2k-19.amzn2.0.10
1.1.0.0000
1.2.0

対処方法

以下のバージョンにアップデートして対応済みです。
1.0.2k-24.amzn2.0.2
1.0.2k-24.amzn2.0.2
1.1.0.1000
1.2.1

WitchyMail

対象となる製品のバージョン

WitchyMailがインストールされているサーバのOpenSSLが 1.0.2、1.1.1、3.0 系のバージョンの場合

対処方法

ご利用OSのサポート情報に従い、OpenSSLを脆弱性が修正されたパッケージにアップデートしてください。

IoT共通基盤

対象となる製品のバージョン

IoT基盤サービス移行専用ライセンス

対処方法

以下を参照して対処を実施してください。
https://support.pf.nec.co.jp/View.aspx?id=9010110254

CONNEXIVE PF

対象となる製品のバージョン

V7.0(アプリケーション実行基盤として利用しているWebOTXが脆弱性の影響を受けるため)

対処方法

以下を参照して、WebOTX Application Serverの対処を実施してください。
https://www.support.nec.co.jp/View.aspx?id=3010103855

CONNEXIVE Application Platform

対象となる製品のバージョン

V2.0

対処方法

以下を参照して対処を実施してください。
https://www.support.nec.co.jp/View.aspx?id=9010110254

NEC Cyber Security Platform

対象となる製品のバージョン

NCSP エージェント
 V1.0-V2.0.7.4
 V2.1-V3.0.0.4

対処方法

NCSPエージェントV2.0.7.4にて対応済みです。

IXルータ

対象となる製品のバージョン

IX3315,IX3110,IX3015,IX2310,IX2235,IX2215,IX2207,X2106,IX2105 (ゼロコンフィグモデルを含む)
IX2025
Ver.9.3.12以降

対処方法

Ver10.6.63/Ver10.5.27/Ver.10.2.39(IX2105のみ)以降で対応済みです。

ActSecureポータル

対象となる製品のバージョン

すべてのバージョン

対処方法

2022年11月のアップグレードにて対応済みです。
※ActSecureポータルをご利用の方は、対処不要です。

UNIVERGE Soft Client SP350

対象となる製品のバージョン

SP350 R6.19まで

対処方法

SP350 R6.20にて対応済みです。

iStorageManager

対象となる製品のバージョン

[iStorageManager]
  以下のバージョンのiSMサーバ。
   ・Ver9.4.006以上、Ver12.3.011以下

 [iStorageManager Experss]
  以下のリビジョンのiStorage Mシリーズのストレージ制御ソフト
   M12e/M120/M320/M320F/M520/M720/M720F:1238以下

 [iSMサーバ(V9.20)]
  以下のバージョンのiSMサーバ
   iSMサーバ(V9.20)のreadmeに表記されたバージョンが以下のもの
    9.20.001以上、9.20.004以下

対処方法

以下のURLにて修正コンテンツを公開しています。
※NECサポートポータルへのログインが必要です。

・iStorageManager Ver12.3
【iStorage M/Aシリーズ】 WebSAM iStorageManager 修正情報 ISMS-ISM-12300170
https://www.support.nec.co.jp/View.aspx?id=9010110357

・ストレージ制御ソフト Mx20シリーズ
【iStorage Mシリーズ】 iStorage M12e/M120/M320/M320F/M520/M720/M720F向け最新標準修正
https://www.support.nec.co.jp/View.aspx?id=9010109399

・iSMサーバ(V9.20)
【iStorage M/Aシリーズ】 iStorageManager V9.20 修正情報 ISMS-ISM-09B00171
https://www.support.nec.co.jp/View.aspx?id=9010110358

UNIVERGE WAシリーズ

対象となる製品のバージョン

1.0.2系 Ver7.4.1~Ver8.1.3
1.1.0系 Ver8.2.2~Ver8.6.7

対処方法

Ver8.6.11以降にアップデートしてください。

NEC Enhanced Video Analytics

対象となる製品のバージョン

V3.x

対処方法

最新バージョンにて対応済みです。

CONNEXIVE IoT Connectivity Engine

対象となる製品のバージョン

V1, V2のV2.0.5までのすべてのバージョン

対処方法

V2.0.6へバージョンアップしてください。

UNIVERGE Business ConneCT

対象となる製品のバージョン

日本向け製品の12.10

対処方法

OpenSSL1.1.1tへのアップデートを実施済みです。

NEC AI Accelerator

対象となる製品のバージョン

OS version 2.0.6.0以前

対処方法

2022年9月リリースのOS v2.1.10.0において、対策済みのOpenSSLにバージョンアップ実施済みです。

参考情報

更新情報

2024/02/22
NEC AI Accelerator を登録しました。
2023/09/01
NEC Enhanced Video Analytics, CONNEXIVE IoT Connectivity Engine, UNIVERGE Business ConneCT を登録しました。
2023/04/21
UNIVERGE WAシリーズ を登録しました。
2023/03/27
ActSecureポータル, UNIVERGE Soft Client SP350, iStorageManager を登録しました。
2022/12/09
IoT共通基盤, CONNEXIVE PF, CONNEXIVE Application Platform, NEC Cyber Security Platform, IXルータ を登録しました。
2022/09/22
Mission Critical Mail, NeoFace Monitor, WitchyMail を登録しました。
2022/08/05
WebOTX, エッジゲートウェイ, ESMPRO/ServerAgent, ESMPRO/ServerAgentService を登録しました。