Japan
サイト内の現在位置を表示しています。
UNIVERGE IXシリーズ 技術情報
IX2000/IX3000シリーズ 「OpenSSL に複数の脆弱性」に関するお知らせ
はじめに
2023年02月08日にJPCERT/CC より
「OpenSSLに複数の脆弱性」
というレポートが発表されました。
「OpenSSLに複数の脆弱性」
というレポートが発表されました。
JPCERT/CC:
Japan Vulnerability Notes : JVNVU#91213144
https://jvn.jp/vu/JVNVU91213144/index.html
記載の内容のうち、以下の脆弱性に該当します。
RSA Decryptionにおけるタイミングオラクル - CVE-2022-4304
OpenSSL RSA Decryptionの実装に、Bleichenbacher方式の攻撃でネットワークを介して平文を取得可能なタイミングベースのサイドチャネルが存在します。これは、PKCS#1 v1.5、RSA-OEAP、およびRSASVEのすべてのRSAパディングモードに影響します。
製品カテゴリ
| 対象製品: |
IX2105/IX2106/IX2107/IX2207/IX2215/IX2235/IX2310/IX3015/IX3110/IX3315 |
|---|---|
| 対象ソフトウェア: | Ver.10.2以降 |
想定される影響および回避方法
[想定される影響]
IXがSSLサーバとして動作している通信の内容が解読される可能性があります。
IXがSSLサーバとして動作している通信の内容が解読される可能性があります。
[影響を受ける機能]
・HTTPSサーバ機能
・Webコンソール機能
・PAC配信
・Web認証
・NetMeister子機接続
・ゼロコンフィグ(SMF)
[回避方法・復旧方法]
以下のいずれかの方法で回避してください。
以下のいずれかの方法で回避してください。
1.ソフトウェアをバージョンアップする。
2.ソフトウェアを更新できない場合は、以下のいずれも対処する。
・HTTPSサーバを使用しない。
[HTTPSおよびHTTPサーバ機能を停止する方法]
no http-server ip enable
no http-server ipv6 enable
・ゼロコンフィグ機能を使用しない。
[HTTPSおよびHTTPサーバ機能を停止する方法]
no http-server ip enable
no http-server ipv6 enable
・ゼロコンフィグ機能を使用しない。
対処版ソフトウェア
・Ver.10.8.21以降
・Ver.10.7.20以降
・Ver.10.5.33以降(IX3110、IX3015のみ)
改版履歴
- 2023年06月30日
-
初版発行
資料請求・お問い合わせ