サイト内の現在位置を表示しています。

UNIVERGE IXシリーズ 技術情報

IX2000/IX3000シリーズ 「OpenSSL に複数の脆弱性」に関するお知らせ

はじめに

2023年02月08日にJPCERT/CC より
「OpenSSLに複数の脆弱性」
というレポートが発表されました。

JPCERT/CC:
Japan Vulnerability Notes : JVNVU#91213144
https://jvn.jp/vu/JVNVU91213144/index.html

記載の内容のうち、以下の脆弱性に該当します。

RSA Decryptionにおけるタイミングオラクル - CVE-2022-4304
OpenSSL RSA Decryptionの実装に、Bleichenbacher方式の攻撃でネットワークを介して平文を取得可能なタイミングベースのサイドチャネルが存在します。これは、PKCS#1 v1.5、RSA-OEAP、およびRSASVEのすべてのRSAパディングモードに影響します。

製品カテゴリ

対象製品:

IX2105/IX2106/IX2107/IX2207/IX2215/IX2235/IX2310/IX3015/IX3110/IX3315
(ゼロコンフィグモデルを含む)

対象ソフトウェア: Ver.10.2以降

想定される影響および回避方法

[想定される影響]
IXがSSLサーバとして動作している通信の内容が解読される可能性があります。

[影響を受ける機能]
・HTTPSサーバ機能
 ・Webコンソール機能
 ・PAC配信
 ・Web認証
 ・NetMeister子機接続
・ゼロコンフィグ(SMF)
 
[回避方法・復旧方法]
以下のいずれかの方法で回避してください。

1.ソフトウェアをバージョンアップする。
2.ソフトウェアを更新できない場合は、以下のいずれも対処する。
  ・HTTPSサーバを使用しない。
   [HTTPSおよびHTTPサーバ機能を停止する方法]
    no http-server ip enable
    no http-server ipv6 enable
  ・ゼロコンフィグ機能を使用しない。

対処版ソフトウェア

・Ver.10.8.21以降
・Ver.10.7.20以降
・Ver.10.5.33以降(IX3110、IX3015のみ)

改版履歴

2023年06月30日
初版発行

資料請求・お問い合わせ