OpenSSLには、次の脆弱性が存在します。

• Incorrect CRYPTO_memcmp on HP-UX PA-RISC
  CVE-2018-0733 (深刻度：中)


• Constructed ASN.1 types with a recursive definition could exceed the stack
  CVE-2018-0739 (深刻度：中)


• rsaz_1024_mul_avx2 overflow bug on x86_64
  CVE-2017-3738 (深刻度：低)

WebOTX Webサーバでは、SSL(HTTPS)通信を実現するmod_sslモジュールで OpenSSLのライブラリをリンクしています。調査の結果、OpenSSLを リンクするWebOTX Webサーバにおいて、上記脆弱性のうち、CVE-2018-0739、 CVE-2017-3738の影響を受けることが判明しています。

• WebOTX Web Edition V4.1～V6.5
• WebOTX Standard-J Edition V4.1～V6.5
• WebOTX Standard Edition V4.1～V6.5
• WebOTX Enterprise Edition V4.1～V6.5
• WebOTX Application Server Web Edition V7.1～V8.1
• WebOTX Application Server Standard-J Edition V7.1～V8.1
• WebOTX Application Server Express V8.2～V10.1 (※)
• WebOTX Application Server Foundation V8.2～V8.5
• WebOTX Application Server Standard V8.2～V10.1
• WebOTX Application Server Enterprise V8.2～V9.5
• WebOTX Enterprise Service Bus V6.4～V8.5
• WebOTX Portal V8.2～V9.1

OpenSSL 0.9.8 / 1.0.0 / 1.0.1 / 1.0.2 に対応したパッチモジュールを 適用している場合に影響を受ける可能性があります。

(※)WebOTX Enterprise Service Bus V9.2～V9.3、および、 WebOTX Portal V9.2～V9.3にバンドルされている WebOTX Application Server Expressを使用している場合にも 該当します。

■ CVE-2018-0739
●脆弱性の影響
本脆弱性により、サービス運用妨害(DoS)攻撃を受ける可能性があります。

●脆弱性に該当する条件
WebOTX Webサーバで、SSL(HTTPS)通信を行う場合に、本脆弱性の影響を 受ける可能性があります。ただし、信頼できないソースから来るSSL/TLSで、 問題となるような、再帰的な定義を伴うASN.1の構造が使われることは 無いため、OpenSSL Security Advisoryでは、安全であるとの見解が 出されています。

■ CVE-2017-3738
●脆弱性の影響
本脆弱性により、機密データを取得される等、不特定の影響を受ける 可能性があります。

●脆弱性に該当する条件
AVX2をサポートするプロセッサ(ただし、Intel Haswell(第4世代)の ようなADX拡張を除く)を利用する環境で、OpenSSL 1.0.2のライブラリを リンクしたWebOTX Webサーバを使ったSSL(HTTPS)通信において、 ECアルゴリズム以外の暗号スイートを利用している場合に、本脆弱性の 影響を受ける可能性があります。

本脆弱性を修正した、WebOTX Webサーバ 2.4(Windows(x64)版/Linux(x64)版/HP-UX(IPF))版向けの パッチモジュールを、次のページで公開しています。

【WebOTX】Apache HTTP Server 2.4.39：OpenSSL 1.0.2r のダウンロード(WebOTX V9.4～10.12向け)(Windows(x64)版/Linux(x64)版)

【WebOTX】Apache HTTP Server 2.4.41：OpenSSL 1.0.2s のダウンロード(WebOTX V10.1～10.1x向け)(HP-UX(IPF)版)

【WebOTX】Apache HTTP Server 2.4.41：OpenSSL 1.0.2t のダウンロード(WebOTX V9.3～V9.4向け)(Linux(x64)版)

WebOTX Webサーバ 2.4向けの他のOSのパッチモジュールは、準備出来次第、 公開予定です。急ぎでパッチが必要な場合はご連絡ください。

(注意) パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。まだ契約がお済みでないお客様は、保守契約締結の後、ダウンロードをお願いいたします。

■ CVE-2018-0739
ありません。

■ CVE-2017-3738
ECアルゴリズムを利用する暗号スイートを使用してください。

ECアルゴリズムを利用する暗号スイートは、"ECDHE-RSA"、 "ECDHE-ECDSA"、"AECDH"で始まる名前のものです。

利用している暗号スイートの確認と、変更方法は次の通りです。
----------------------------------------

1. <WebOTXインストールディレクトリ>/domains/<ドメイン名>/config/WebServer/ssl.conf をテキストエディタで開きます。


2. SSLCipherSuiteディレクティブの値を確認します。
   
   定義例)
   

   SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:\ ECDHE-ECDSA-AES128-GCM-SHA256:\ ECDHE-RSA-AES256-GCM-SHA384:\ DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:\ !DES:!RC4:!3DES:!MD5:!PSK

   上記の定義例の場合、ECDHEではない"DHE-RSA-AES256-SHA"を 削除します。


3. (定義を変更した場合)Webサーバを再起動します。
   

   otxadmin> invoke server.WebServer.stop otxadmin> invoke server.WebServer.start

----------------------------------------

本脆弱性問題の詳細は、以下のURLを参照してください。

• CVE-2018-0739
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0739
• CVE-2017-3738
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3738
• JVNVU#93502675
  https://jvn.jp/vu/JVNVU93502675/

それ以外の脆弱性問題の詳細は、次のURLを参照してください。

• CVE-2018-0733
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0733

2018/04/27 初版

2019/10/23 「対処方法」にリンク「【WebOTX】Apache HTTP Server 2.4.41：OpenSSL 1.0.2t のダウンロード(WebOTX V9.4向け)(Linux(x64)版)」を追加。

1. 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、 それぞれの情報におきまして内容を予告なく変更することがありますので、 あらかじめご了承ください。

2. 本サイトに掲載した製品には他社の製品も含まれており、 これらの製品の情報につきましては、 他社から提供または公開された情報を基にしております。 最新の情報につきましては製品開発元の情報を参照してください。

3. 本サイトは弊社製品のセキュリティ情報の提供を目的としております。 掲載情報に従い対応を行った（あるいは行わなかった）結果につきまして、 弊社では責任を負いかねますのでご了承ください。

セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。