当サイトでは、サービス向上、アクセス状況計測、広告配信などのためにクッキーを使用しています。個人情報保護について

Japan

BluStellar(ブルーステラ)

製品・ソリューション

  • セキュリティ

    NECは、「正しくつくる」「正常をつづける」「攻撃からまもる」の3つの軸で、お客様のビジネスの信頼性向上・生産性向上・事業拡大につながるご支援をしていきます。

関連リンク

業種・業務

関連リンク

企業情報

関連リンク

関連リンク

関連リンク

サイト内の現在位置を表示しています。

脆弱性問題(JVNVU#98667810)について

2016年10月6日
NEC スマートネットワーク事業部 データ・セキュリティ製品事業グループ

はじめに

2016年9月23日に、JPCERT/CCより
「OpenSSLに複数の脆弱性」
というレポートが発表されました。
 
 JPCERT/CC
 Japan Vulnerability Notes JVNVU#98667810
   https://jvn.jp/vu/JVNVU98667810/

製品カテゴリ

[対象製品]
WA1020, WA1510, WA1511, WA2021, WA2610-AP, WA2611-AP

[対象ソフトウェア]
ソフトウェアバージョン Ver3.0.2 から Ver7.2.18 までの全バージョン

影響を受けない脆弱性問題

  • OCSP Status Request にサービス運用妨害 (DoS)
    - CVE-2016-6304
  • SSL_peek() 関数の呼出し処理にサービス運用妨害 (DoS)
    - CVE-2016-6305
  • ブロック長が 64bit のブロック暗号に対する誕生日攻撃 (Sweet32) への緩和策
    - CVE-2016-2183
  • MDC2_Update() 関数の呼出し処理にヒープベースのバッファオーバーフロー
    - CVE-2016-6303
  • SHA512 を使用した不正な形式の TLS セッションチケットによるサービス運用妨害 (DoS)
    - CVE-2016-6302
  • BN_bn2dec() 関数に領域外書込み
    - CVE-2016-2182
  • TS_OBJ_print_bio() 関数に領域外読込み
    - CVE-2016-2180
  • DTLS のハンドシェイク処理にサービス運用妨害 (DoS)
    - CVE-2016-2179
  • DTLS のリプレイ攻撃防止機能にサービス運用妨害 (DoS)
    - CVE-2016-2181
  • TLS メッセージのメモリ割当て処理にサービス運用妨害 (DoS)
    - CVE-2016-6307
  • DTLS メッセージのメモリ割当て処理にサービス運用妨害 (DoS)
    - CVE-2016-6308

影響を受ける脆弱性問題

ポインタ演算処理の未定義動作 - CVE-2016-2177

[想定される影響]
  本脆弱性に起因するDoS攻撃を受ける可能性がありますが、現状での影響度は不明です。
 
[影響を受ける条件]
  以下 2つの条件に合致する場合、この脆弱性問題の影響を受ける可能性があります。
 
  1. 現在使用しているソフトウェアが Ver. 7.2.18以前のバージョン
  2. 以下のいずれかの機能を利用している。
     ・ファームウェアアップデート機能でHTTPSを利用している。
     ・ダイナミックDNS機能でHTTPSを利用している。
     ・装置起動時の自動コンフィグダウンロード機能でHTTPSを利用している。
     ・装置起動時の自動ファームウェアアップデート機能でHTTPSを利用している。

[対策]
今後リリース予定の修正ソフトウェアへのバージョンアップ

[回避策]
信頼できるサーバ以外へのアクセスを行わないことで回避が可能です。

DSA 署名アルゴリズムに対するサイドチャネル攻撃 - CVE-2016-2178

[想定される影響]
  キャッシュタイミング攻撃により攻撃者にDSA 秘密鍵を取得される可能性があります。

[影響を受ける条件]
  以下 2つの条件に合致する場合、この脆弱性問題の影響を受ける可能性があります。
 
  1. 現在使用しているソフトウェアがVer. 7.2.18以前のバージョン
  2. 以下のいずれかの機能を利用している。
     ・ファームウェアアップデート機能でHTTPSを利用している。
     ・ダイナミックDNS機能でHTTPSを利用している。
     ・装置起動時の自動コンフィグダウンロード機能でHTTPSを利用している。
     ・装置起動時の自動ファームウェアアップデート機能でHTTPSを利用している。

[対策]
今後リリース予定の修正ソフトウェアへのバージョンアップ

[回避策]
信頼できるサーバ以外へのアクセスを行わないことで回避が可能です。

証明書の読込み処理およびリクエスト処理に領域外読込み - CVE-2016-6306

[想定される影響]
  本脆弱性に起因するDoS攻撃を受ける可能性がありますが、現状での影響度は不明です。
 
 [影響を受ける条件]
  以下 2つの条件に合致する場合、この脆弱性問題の影響を受ける可能性があります。

  1. 現在使用しているソフトウェアがVer. 7.2.18以前のバージョン
  2. 以下のいずれかの機能を利用している。
     ・ファームウェアアップデート機能でHTTPSを利用している。
     ・ダイナミックDNS機能でHTTPSを利用している。
     ・装置起動時の自動コンフィグダウンロード機能でHTTPSを利用している。
     ・装置起動時の自動ファームウェアアップデート機能でHTTPSを利用している。

[対策]
今後リリース予定の修正ソフトウェアへのバージョンアップ

[回避策]
信頼できるサーバ以外へのアクセスを行わないことで回避が可能です。

更新履歴

     2016年 10月6日  初版発行

資料請求・お問い合わせ

Escキーで閉じる 閉じる