Japan

サイト内の現在位置

OpenSSLに複数の脆弱性

掲載番号:NV23-004
脆弱性情報識別番号:JVNVU#91213144

概要

OpenSSLには、次の脆弱性が存在します。

・メモリの内容を読み取られたり、システムがサービス運用妨害(DoS)状態にされる - CVE-2023-0286
・ユーザがサーバへ送信したアプリケーションのデータを復号される - CVE-2022-4304
・システムがサービス運用妨害(DoS)状態にされる - CVE-2022-4203、CVE-2023-0215、CVE-2022-4450、CVE-2023-0216、CVE-2023-0217、CVE-2023-0401

対象製品

ReportFiling

対象となる製品のバージョン

該当するOpenSSL環境を使用しているバージョン

対処方法

OpenSSLを対処版にバージョンアップしてください。

NEC Enhanced Speech Analysis

対象となる製品のバージョン

v1.4.0

対処方法

v1.5.0で対処しております。

NEC Multimedia OLAP for 映像分析サービス

対象となる製品のバージョン

v1.0.0以降

対処方法

最新のバージョンにて対応しております。

WebOTX

対象となる製品のバージョン

CVE-2023-0286、CVE-2022-4304、CVE-2023-0215
 ・WebOTX Application Server Express V8.2-11.1
 ・WebOTX Application Server Standard V8.2-11.1
 ・WebOTX Application Server Enterprise V8.2-9.6
 ・WebOTX SIP Application Server Standard Edition V8.13
 ・WebOTX Application Server Standard Extended Option V11.1

 ※WebOTX ESB V8.2-8.5/9.2/9.3/10.1/10.3
  WebOTX Portal V8.2-8.4/9.1/9.3/10.1/10.4にバンドルされているWebOTX AS Expressを使用している場合も該当
 ※V8.2-9.3はOpenSSLのバージョン1.0.2のWebサーバパッチモジュールを適用している場合に該当

CVE-2022-4450
 ・WebOTX Application Server Express V9.3-11.1
 ・WebOTX Application Server Standard V9.3-11.1
 ・WebOTX Application Server Enterprise V9.3-9.6
 ・WebOTX Application Server Standard Extended Option V11.1

 ※WebOTX ESB V9.3/10.1/10.3,
  WebOTX Portal V9.3/10.1/10.4にバンドルされているWebOTX AS Expressを使用している場合も該当
 ※V9.3-10.2はOpenSSLのバージョン1.1.1のWebサーバパッチモジュールを適用している場合に該当

CVE-2022-4203、CVE-2023-0216、CVE-2023-0217、CVE-2023-0401
 影響なし

対処方法

以下のサイトを参照ください。
https://www.support.nec.co.jp/View.aspx?id=3010104197

得選街・GCB

対象となる製品のバージョン

すべてのバージョン

対処方法

最新のバージョンにて対応しております。

vRAN

対象となる製品のバージョン

すべてのバージョン

対処方法

最新のバージョンにて対応しております。

養殖魚サイズ測定自動化サービス

対象となる製品のバージョン

すべてのバージョン

対処方法

最新のバージョンにて対応しております。

参考情報

OpenSSL
https://www.openssl.org/news/secadv/20230207.txt
https://www.openssl.org/news/vulnerabilities.html

JVN
https://jvn.jp/vu/JVNVU91213144/index.html

Debian
https://security-tracker.debian.org/tracker/CVE-2023-0286

Red Hat Enterprise Linux/CentOS
https://access.redhat.com/security/cve/CVE-2023-0286

Ubuntu
https://www.suse.com/security/cve/CVE-2023-0286.html

SUSE/openSUSE
https://ubuntu.com/security/CVE-2023-0286

更新情報

2023/04/21
ReportFiling, NEC Enhanced Speech Analysis, NEC Multimedia OLAP for 映像分析サービス, WebOTX, 得選街・GCB, vRAN, 養殖魚サイズ測定自動化サービス を登録しました。