OpenSSLに複数の脆弱性

掲載番号:NV22-012
脆弱性情報識別番号:JVNVU#96381485

概要

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

・リモートコード実行 - CVE-2022-2274
OpenSSL 3.0.4リリースのAVX512IFMA命令をサポートするX86_64CPUのRSA実装不備により、2048ビットの秘密鍵を使用すると、計算中にメモリ破壊が発生する
・メモリ内のデータが読み取られる - CVE-2022-2097
32ビットx86プラットフォーム向けのAES OCBモードにおいて、AES-NIアセンブリ最適化実装を使用するとデータが暗号化されない場合がある

対象製品

ReportFiling

対象となる製品のバージョン

すべてのバージョン

対処方法

OpenSSLを最新版にアップデートしてください。

WitchyMail

対象となる製品のバージョン

すべてのバージョン(独自にOpenSSL 3.0.4を適用している場合のみ)

対処方法

独自にOpenSSL 3.0.4を適用している場合は、各ディストリビューションの案内に従い、アップデートを行ってください。

NEC Cyber Security Platform

対象となる製品のバージョン

Linux x86版NCSPエージェント V2.0.7.2~V2.0.7.3、V3.0.0.2~V3.0.0.5

対処方法

NCSPエージェントV2.0.7.4にて対応済みです。

UNIVERGE WAシリーズ

対象となる製品のバージョン

Ver8.3.9~Ver8.6.11

対処方法

Ver8.6.14以降にアップデートしてください。

参考情報

更新情報

2022/04/21
UNIVERGE WAシリーズ を登録しました。
2022/12/09
WitchyMail, NEC Cyber Security Platform を登録しました。
2022/09/22
ReportFiling を登録しました。