Japan
サイト内の現在位置を表示しています。
UNIVERGE IXシリーズ 技術情報
IX2000/IX3000シリーズ 「OpenSSLに複数の脆弱性」に関する御報告
はじめに
2021年2月17日、および2021年3月26日にJPCERT/CC より
「OpenSSL に複数の脆弱性」というレポートが発表されました。
JPCERT/CC:
Japan Vulnerability Notes JVNVU#92126369
https://jvn.jp/vu/JVNVU92126369/index.html
Japan Vulnerability Notes JVNVU#94508446
https://jvn.jp/vu/JVNVU94508446/index.html
その中で、以下脆弱性に該当します。
(a) SSL/TLS ハンドシェイクの再ネゴシエーション処理におけるNULLポインタ参照
- CVE-2021-3449 (深刻度:高)
(b) CipherUpdate での整数オーバーフロー - CVE-2021-23840 (深刻度:低)
製品カテゴリ
対象装置: |
全装置 |
---|---|
対象ソフトウェア: | ソフトウェアバージョン: Ver.10.4.14/Ver.10.3.17/Ver.10.2.30 |
「OpenSSLに複数の脆弱性」の想定される影響と対策および回避策
[想定される影響]
(a)CVE-2021-3449
クライアントから特別に細工されたClientHello再ネゴシエーションメッセージを
受け取るとクラッシュさせられたり、サービス運用妨害(DoS)状態にされる
可能性がある。
(b)CVE-2021-23840
EVP_CipherUpdate、EVP_EncryptUpdate、EVP_DecryptUpdate 関数の
呼び出し時にプラットフォーム上の整数の最大値に近い値を入力されることで、
アプリケーションが不正な動作をしたり、クラッシュさせられたりする。
[影響を受ける条件]
以下の条件に合致する場合、この脆弱性問題の影響を受ける可能性があります。
TLSを利用するサーバ機能を有効化している場合
・HTTPSサーバ
-WebUI
-PAC配信
-Web認証
・NetMeister子機接続
・SMF(ゼロコンフィグモデル)
[対策]
(a) CVE-2021-3449
・任意のクライアントからのDoSを防ぐため、正しいフィルタリング設定を行う。
・対象機能を無効にする。
・ソフトウェアを修正バージョンにアップデートする。
(b) CVE-2021-23840
・対象機能を無効にする。
・ソフトウェアを修正バージョンにアップデートする。
[修正バージョン]
Ver10.5.13/Ver10.4.19/Ver.10.3.21/Ver.10.2.34(IX2105のみ)以降
改版履歴
- 2021年05月20日
-
初版発行
資料請求・お問い合わせ