サイト内の現在位置を表示しています。

UNIVERGE IXシリーズ 技術情報

IX2000/IX3000シリーズ 「OpenSSL脆弱性」に関するお知らせ

はじめに

2022年3月16日にJPCERT/CC より「OpenSSLのBN_mod_sqrt()における法が非素数のときに無限ループを引き起こす問題」というレポートが発表されました。
https://jvn.jp/vu/JVNVU90813125/index.html

製品カテゴリ

対象製品:

IX2105/IX2106/IX2207/IX2215/IX2235/IX2310/IX3015/IX3110/IX3315
(ゼロコンフィグモデルを含む)

対象ソフトウェア: Ver.9.3.12以降

想定される影響、発生条件

[想定される影響]
不正な楕円曲線パラメータを含む証明書や秘密鍵などをパースすることで無限ループを引き起こされ、サービス運用妨害(DoS)状態になる可能性があります。

[影響を受ける条件]
以下の条件に合致する場合、この脆弱性問題の影響を受ける可能性があります。

・証明書を利用する機能を利用する場合
 ・IKEv2/IPsec(証明書を利用する場合)
 ・HTTPSサーバ
  ・WebUI
  ・PAC配信
  ・Web認証
 ・ゼロコンフィグ(SMF)
 ・UTM
 ・NetMeister
 ・ゼロタッチプロビジョニング(ZTP)

回避方法

以下の方法で回避してください。

 ・ソフトウェアをバージョンアップする。

 ・ソフトウェアを更新出来ない場合は以下の対処を行う。
  ・IKEv2/IPsec:証明書を利用しない。
  ・HTTP/HTTPS:正しい証明書を使用する。
  ・その他:対象機能を無効にする。

対処版ソフトウェア

・Ver.10.6.63以降
・Ver.10.5.27以降
・Ver.10.2.39以降(IX2105のみ)

改版履歴

2022年05月11日
初版発行

資料請求・お問い合わせ