OpenSSLに複数の脆弱性

掲載番号:NV23-004
脆弱性情報識別番号:JVNVU#91213144

概要

OpenSSLには、次の脆弱性が存在します。

・メモリの内容を読み取られたり、システムがサービス運用妨害(DoS)状態にされる - CVE-2023-0286
・ユーザがサーバへ送信したアプリケーションのデータを復号される - CVE-2022-4304
・システムがサービス運用妨害(DoS)状態にされる - CVE-2022-4203、CVE-2023-0215、CVE-2022-4450、CVE-2023-0216、CVE-2023-0217、CVE-2023-0401

対象製品

ReportFiling

対象となる製品のバージョン

該当するOpenSSL環境を使用しているバージョン

対処方法

OpenSSLを対処版にバージョンアップしてください。

NEC Enhanced Speech Analysis

対象となる製品のバージョン

v1.4.0

対処方法

v1.5.0で対処しております。

NEC Multimedia OLAP for 映像分析サービス

対象となる製品のバージョン

v1.0.0以降

対処方法

最新のバージョンにて対応しております。

WebOTX

対象となる製品のバージョン

CVE-2023-0286、CVE-2022-4304、CVE-2023-0215
 ・WebOTX Application Server Express V8.2-11.1
 ・WebOTX Application Server Standard V8.2-11.1
 ・WebOTX Application Server Enterprise V8.2-9.6
 ・WebOTX SIP Application Server Standard Edition V8.13
 ・WebOTX Application Server Standard Extended Option V11.1

 ※WebOTX ESB V8.2-8.5/9.2/9.3/10.1/10.3
  WebOTX Portal V8.2-8.4/9.1/9.3/10.1/10.4にバンドルされているWebOTX AS Expressを使用している場合も該当
 ※V8.2-9.3はOpenSSLのバージョン1.0.2のWebサーバパッチモジュールを適用している場合に該当

CVE-2022-4450
 ・WebOTX Application Server Express V9.3-11.1
 ・WebOTX Application Server Standard V9.3-11.1
 ・WebOTX Application Server Enterprise V9.3-9.6
 ・WebOTX Application Server Standard Extended Option V11.1

 ※WebOTX ESB V9.3/10.1/10.3,
  WebOTX Portal V9.3/10.1/10.4にバンドルされているWebOTX AS Expressを使用している場合も該当
 ※V9.3-10.2はOpenSSLのバージョン1.1.1のWebサーバパッチモジュールを適用している場合に該当

CVE-2022-4203、CVE-2023-0216、CVE-2023-0217、CVE-2023-0401
 影響なし

対処方法

以下のサイトを参照ください。
https://www.support.nec.co.jp/View.aspx?id=3010104197

得選街・GCB

対象となる製品のバージョン

すべてのバージョン

対処方法

最新のバージョンにて対応しております。

vRAN

対象となる製品のバージョン

すべてのバージョン

対処方法

最新のバージョンにて対応しております。

養殖魚サイズ測定自動化サービス

対象となる製品のバージョン

すべてのバージョン

対処方法

最新のバージョンにて対応しております。

CONNEXIVE PF

対象となる製品のバージョン

CONNEXIVE Platform V7(CONNEXIVEが基盤として利用しているWebOTX Application Serverが本脆弱性の影響を受けるため)

対処方法

本ページのWebOTXの対処を参照してください。

IoT共通基盤

対象となる製品のバージョン

IoT基盤サービス移行専用ライセンス
OpenSSL v1.0.2k、一部環境はv1.1.1
(CVE-2022-4304、CVE-2022-4450、CVE-2023-0286、CVE-2023-0215のみ影響)

対処方法

RHEL7、8を利用の場合は、以下を参照してアップデートしてください。
https://access.redhat.com/security/cve/CVE-2023-0286

CentOS7を利用されている場合はOpenSSLのプレミアムサポート契約を行い、アップデートを行ってください。

CONNEXIVE Application Platform

対象となる製品のバージョン

CONNEXIVE Application Platform V2.0(CVE-2022-4304、CVE-2022-4450、CVE-2023-0286、CVE-2023-0215のみ影響)

対処方法

RHEL7、8を利用の場合は、以下を参照してアップデートしてください。
https://access.redhat.com/security/cve/CVE-2023-0286

CentOS7を利用されている場合はOpenSSLのプレミアムサポート契約を行い、アップデートを行ってください。

ESMPRO/ServerAgent

対象となる製品のバージョン

ESMPRO/ServerAgent 4.4.22-1以降
ESMPRO/ServerAgentService 全バージョン

対処方法

RHEL社から出ている修正パッケージを適用してください。
https://access.redhat.com/errata/RHSA-2023:1335
https://access.redhat.com/errata/RHSA-2023:1405

NeoFace Monitor クラウド版

対象となる製品のバージョン

1.0.2/1.1.1

対処方法

最新バージョンで対処済みです。

IXルータ

対象となる製品のバージョン

Ver.10.2以降(HTTPSサーバ機能に影響があります。)

対処方法

以下のバージョンにバージョンアップしてください。
 Ver.10.8.21以降
 Ver.10.7.20以降
 Ver.10.5.33以降(IX3110,IX3015のみ)

参考情報

更新情報

2023/09/01
IoT共通基盤, CONNEXIVE Application Platform, ESMPRO/ServerAgent, NeoFace Monitor クラウド版, IXルータ を登録しました。
2023/06/27
CONNEXIVE PF を登録しました。
2023/04/21
ReportFiling, NEC Enhanced Speech Analysis, NEC Multimedia OLAP for 映像分析サービス, WebOTX, 得選街・GCB, vRAN, 養殖魚サイズ測定自動化サービス を登録しました。