サイト内の現在位置を表示しています。

UNIVERGE IXシリーズ 技術情報

IX2000/IX3000シリーズ 「OpenSSLに複数の脆弱性」に関する御報告

はじめに

  2021年2月17日、および2021年3月26日にJPCERT/CC より
    「OpenSSL に複数の脆弱性」と
いうレポートが発表されました。

  JPCERT/CC:
  Japan Vulnerability Notes JVNVU#92126369
  https://jvn.jp/vu/JVNVU92126369/index.html

  Japan Vulnerability Notes JVNVU#94508446
  https://jvn.jp/vu/JVNVU94508446/index.html

  その中で、以下脆弱性に該当します。

  (a) SSL/TLS ハンドシェイクの再ネゴシエーション処理におけるNULLポインタ参照
     - CVE-2021-3449 (深刻度:高)
  (b) CipherUpdate での整数オーバーフロー - CVE-2021-23840 (深刻度:低)

製品カテゴリ

対象装置:

全装置
IX3315,IX3110,IX3015,IX2235,IX2215,
IX2207,IX2106,IX2105
(ゼロコンフィグモデルを含む)

対象ソフトウェア: ソフトウェアバージョン:
Ver.10.4.14/Ver.10.3.17/Ver.10.2.30

「OpenSSLに複数の脆弱性」の想定される影響と対策および回避策

[想定される影響]

(a)CVE-2021-3449
    クライアントから特別に細工されたClientHello再ネゴシエーションメッセージを
  受け取るとクラッシュさせられたり、サービス運用妨害(DoS)状態にされる
    可能性がある。


(b)CVE-2021-23840
    EVP_CipherUpdate、EVP_EncryptUpdate、EVP_DecryptUpdate 関数の
    呼び出し時にプラットフォーム上の整数の最大値に近い値を入力されることで、
    アプリケーションが不正な動作を
したり、クラッシュさせられたりする。

[影響を受ける条件]

以下の条件に合致する場合、この脆弱性問題の影響を受ける可能性があります。

  TLSを利用するサーバ機能を有効化している場合
    ・HTTPSサーバ
    -WebUI
    -PAC配信
    -Web認証
   ・NetMeister子機接続
   ・SMF(ゼロコンフィグモデル)

[対策]

(a) CVE-2021-3449
    ・任意のクライアントからのDoSを防ぐため、正しいフィルタリング設定を行う。
    ・対象機能を無効にする。
    ・ソフトウェアを修正バージョンにアップデートする。

(b) CVE-2021-23840
    ・対象機能を無効にする。
    ・ソフトウェアを修正バージョンにアップデートする。

[修正バージョン]
Ver10.5.13/Ver10.4.19/Ver.10.3.21/Ver.10.2.34(IX2105のみ)以降


改版履歴

2021年05月20日
初版発行

資料請求・お問い合わせ