Japan
サイト内の現在位置
OpenSSLのBN_mod_sqrt()における法が非素数のときに無限ループを引き起こす問題
掲載番号:NV22-006
脆弱性情報識別番号:JVNVU90813125
概要
不正な楕円曲線パラメータを含む証明書や秘密鍵などをパースすることで無限ループを引き起こされ、サービス運用妨害(DoS)状態になる可能性があります。この問題は次の状況で起こる可能性があります。
・TLSクライアントがサーバ証明書を処理する
・TLSサーバがクライアント証明書を処理する
・ホスティングサービス事業者が顧客から受け取った証明書や秘密鍵を処理する
・認証局が契約者から受け取ったCSR (証明書署名要求) データを処理する
・その他、ASN.1形式の楕円曲線パラメータを処理する場合
対象製品
WebOTX
対象となる製品のバージョン
WebOTX Application Server Express V8.2~V10.4
WebOTX Application Server Standard V8.2~V10.4
WebOTX Application Server Enterprise V8.2~V9.6
WebOTX SIP Application Server Standard Edition V8.13
(※)WebOTX Enterprise Service Bus V8.2~V8.5、V9.2、V9.3、V10.1、V10.3、WebOTX Portal V8.2~V8.4、V9.1、V9.3、V10.1、V10.4にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。
(※)V8.2~V9.3はOpenSSLのバージョン1.0.2/1.1.1(1.1.1m以前)のWebサーバパッチモジュールを適用している場合に該当します。
対処方法
下記ページの対処を参照し、パッチを適用してください。
https://www.support.nec.co.jp/View.aspx?id=3010103855
エッジゲートウェイ
対象となる製品のバージョン
すべてのバージョン
対処方法
opensslパッケージを 1.1.0l-1~deb9u5 にアップデートしてください。
ESMPRO/ServerAgent
対象となる製品のバージョン
4.4.22-1以降
対処方法
以下のページを参照して、OpenSSLを脆弱性が修正されたパッケージにアップデートしてください。
https://www.support.nec.co.jp/View.aspx?id=3150116031
ESMPRO/ServerAgentService
対象となる製品のバージョン
すべてのバージョン
対処方法
以下のページを参照して、OpenSSLを脆弱性が修正されたパッケージにアップデートしてください。
https://www.support.nec.co.jp/View.aspx?id=3150116031
Mission Critical Mail
対象となる製品のバージョン
すべてのバージョン
対処方法
ご利用OSのサポート情報に従い、OpenSSLを脆弱性が修正されたパッケージにアップデートしてください。
NeoFace Monitor
対象となる製品のバージョン
1.0.2k-19.amzn2.0.4
1.0.2k-19.amzn2.0.10
1.1.0.0000
1.2.0
対処方法
以下のバージョンにアップデートして対応済みです。
1.0.2k-24.amzn2.0.2
1.0.2k-24.amzn2.0.2
1.1.0.1000
1.2.1
WitchyMail
対象となる製品のバージョン
WitchyMailがインストールされているサーバのOpenSSLが 1.0.2、1.1.1、3.0 系のバージョンの場合
対処方法
ご利用OSのサポート情報に従い、OpenSSLを脆弱性が修正されたパッケージにアップデートしてください。
IoT共通基盤
対象となる製品のバージョン
IoT基盤サービス移行専用ライセンス
対処方法
以下を参照して対処を実施してください。
https://support.pf.nec.co.jp/View.aspx?id=9010110254
CONNEXIVE PF
対象となる製品のバージョン
V7.0(アプリケーション実行基盤として利用しているWebOTXが脆弱性の影響を受けるため)
対処方法
以下を参照して、WebOTX Application Serverの対処を実施してください。
https://www.support.nec.co.jp/View.aspx?id=3010103855
CONNEXIVE Application Platform
対象となる製品のバージョン
V2.0
対処方法
以下を参照して対処を実施してください。
https://www.support.nec.co.jp/View.aspx?id=9010110254
NEC Cyber Security Platform
対象となる製品のバージョン
NCSP エージェント
V1.0-V2.0.7.4
V2.1-V3.0.0.4
対処方法
NCSPエージェントV2.0.7.4にて対応済みです。
IXルータ
対象となる製品のバージョン
IX3315,IX3110,IX3015,IX2310,IX2235,IX2215,IX2207,X2106,IX2105 (ゼロコンフィグモデルを含む)
IX2025
Ver.9.3.12以降
対処方法
Ver10.6.63/Ver10.5.27/Ver.10.2.39(IX2105のみ)以降で対応済みです。
ActSecureポータル
対象となる製品のバージョン
すべてのバージョン
対処方法
2022年11月のアップグレードにて対応済みです。
※ActSecureポータルをご利用の方は、対処不要です。
UNIVERGE Soft Client SP350
対象となる製品のバージョン
SP350 R6.19まで
対処方法
SP350 R6.20にて対応済みです。
iStorageManager
対象となる製品のバージョン
[iStorageManager]
以下のバージョンのiSMサーバ。
・Ver9.4.006以上、Ver12.3.011以下
[iStorageManager Experss]
以下のリビジョンのiStorage Mシリーズのストレージ制御ソフト
M12e/M120/M320/M320F/M520/M720/M720F:1238以下
[iSMサーバ(V9.20)]
以下のバージョンのiSMサーバ
iSMサーバ(V9.20)のreadmeに表記されたバージョンが以下のもの
9.20.001以上、9.20.004以下
対処方法
以下のURLにて修正コンテンツを公開しています。
※NECサポートポータルへのログインが必要です。
・iStorageManager Ver12.3
【iStorage M/Aシリーズ】 WebSAM iStorageManager 修正情報 ISMS-ISM-12300170
https://www.support.nec.co.jp/View.aspx?id=9010110357
・ストレージ制御ソフト Mx20シリーズ
【iStorage Mシリーズ】 iStorage M12e/M120/M320/M320F/M520/M720/M720F向け最新標準修正
https://www.support.nec.co.jp/View.aspx?id=9010109399
・iSMサーバ(V9.20)
【iStorage M/Aシリーズ】 iStorageManager V9.20 修正情報 ISMS-ISM-09B00171
https://www.support.nec.co.jp/View.aspx?id=9010110358
UNIVERGE WAシリーズ
対象となる製品のバージョン
1.0.2系 Ver7.4.1~Ver8.1.3
1.1.0系 Ver8.2.2~Ver8.6.7
対処方法
Ver8.6.11以降にアップデートしてください。
NEC Enhanced Video Analytics
対象となる製品のバージョン
V3.x
対処方法
最新バージョンにて対応済みです。
CONNEXIVE IoT Connectivity Engine
対象となる製品のバージョン
V1, V2のV2.0.5までのすべてのバージョン
対処方法
V2.0.6へバージョンアップしてください。
UNIVERGE Business ConneCT
対象となる製品のバージョン
日本向け製品の12.10
対処方法
OpenSSL1.1.1tへのアップデートを実施済みです。
NEC AI Accelerator
対象となる製品のバージョン
OS version 2.0.6.0以前
対処方法
2022年9月リリースのOS v2.1.10.0において、対策済みのOpenSSLにバージョンアップ実施済みです。
NEC Software Robot Solution
対象となる製品のバージョン
v1.0 (v11.1.0.6、v11.1.0.4、v10.7.x、v10.4.0.2、v10.3.0.4)
対処方法
下記ページの対処を参照し、パッチを適用してください。
https://www.support.nec.co.jp/View.aspx?&id=3010103877
参考情報
JVNVU#90813125
https://jvn.jp/vu/JVNVU90813125/index.html
OpenSSL Security Advisory [15 March 2022]
https://www.openssl.org/news/secadv/20220315.txt
CVE-2022-0778 (OpenSSL advisory) [High severity] 15 March 2022
https://www.openssl.org/news/vulnerabilities.html#y2022
Debian
https://security-tracker.debian.org/tracker/CVE-2022-0778
Red Hat Enterprise Linux/CentOS
https://access.redhat.com/security/cve/CVE-2022-0778
Ubuntu
https://people.canonical.com/~ubuntu-security/cve/2021/CVE-2022-0778.html
SUSE/openSUSE
https://www.suse.com/security/cve/CVE-2022-0778.html
更新情報
- 2024/11/29
-
NEC Software Robot Solution を登録しました。
- 2024/02/22
-
NEC AI Accelerator を登録しました。
- 2023/09/01
-
NEC Enhanced Video Analytics, CONNEXIVE IoT Connectivity Engine, UNIVERGE Business ConneCT を登録しました。
- 2023/04/21
-
UNIVERGE WAシリーズ を登録しました。
- 2023/03/27
-
ActSecureポータル, UNIVERGE Soft Client SP350, iStorageManager を登録しました。
- 2022/12/09
-
IoT共通基盤, CONNEXIVE PF, CONNEXIVE Application Platform, NEC Cyber Security Platform, IXルータ を登録しました。
- 2022/09/22
-
Mission Critical Mail, NeoFace Monitor, WitchyMail を登録しました。
- 2022/08/05
-
WebOTX, エッジゲートウェイ, ESMPRO/ServerAgent, ESMPRO/ServerAgentService を登録しました。
