ページの先頭です。
ここから本文です。

お知らせ

[WebOTX] OpenSSLにおける複数の脆弱性(CVE-2016-7054, CVE-2016-7053, CVE-2016-7055)による影響と対策について

概要

OpenSSLには、次の脆弱性が存在します。

  • ciphersuite ChaCha20/Poly1305 にヒープバッファオーバーフロー
    CVE-2016-7054 (重要度:高)
  • 無効な CMS 構造の処理における NULL ポインタ参照の問題
    CVE-2016-7053 (重要度:中)
  • モンゴメリ乗算処理の誤り
    CVE-2016-7055 (重要度:低)

WebOTX Webサーバでは、SSL(HTTPS)通信を実現するmod_sslモジュールで OpenSSLのライブラリをリンクしています。調査の結果、OpenSSL 1.0.2を リンクするWebOTX Webサーバにおいて、上記脆弱性のうち、CVE-2016-7055 の影響を受けることが判明しています。


影響のある製品

  • WebOTX Application Server Express V8.2~V9.4 (※)
  • WebOTX Application Server Foundation V8.2~V8.5
  • WebOTX Application Server Standard V8.2~V9.4
  • WebOTX Application Server Enterprise V8.2~V9.4
  • WebOTX Enterprise Service Bus V8.2~V8.5
  • WebOTX Portal V8.2~V9.1

OpenSSL 1.0.2に対応したパッチモジュールを適用している場合に 影響を受ける可能性があります。

(※) WebOTX Enterprise Service Bus V9.2~V9.3、および、 WebOTX Portal V9.3に同梱されている WebOTX Application Server Expressを使用している場合にも該当します。


詳細

■CVE-2016-7055の脆弱性の影響
本脆弱性により、認証や、キーネゴシエーションが失敗することで、 サービス運用妨害(DoS)攻撃を受ける可能性があります。

■脆弱性に該当する条件
SSL(HTTPS)通信において、512bitの楕円曲線暗号の秘密鍵を利用し、 かつ、クライアントからの接続で当該暗号を使用する場合に影響を 受ける可能性があります。

なお、WebOTX Webサーバ付属の証明書では、512bitの楕円曲線暗号は 利用しておりません。独自の証明書をご利用の場合にその内容を ご確認ください。


対処方法

本脆弱性を修正した、WebOTX Webサーバ 2.2、および、Webサーバ 2.4 (Windows(x64)版/HP-UX(IPF)版/Linux(x64)版)向けの パッチモジュールを、次のページで公開しています。

  コンテンツID:9010102290

  (WebOTX V9.3向け)(Windows(x64)版/Linux(x64)版)
  コンテンツID:9010107229

  (WebOTX V9.4、V9.5向け)(Windows(x64)版/HP-UX(IPF)版/Linux(x64)版)
  コンテンツID:9010107255

WebOTX Webサーバ 2.4向けの他のOSのパッチモジュールは、準備出来次第、 公開予定です。急ぎでパッチが必要な場合はご連絡ください。

(注意) パッチモジュールは製品保守契約を結んでいただいたお客様に 限定して提供させていただいています。まだ契約がお済みでない お客様は、保守契約締結の後、ダウンロードをお願いいたします。


回避方法

512bitの楕円曲線以外の暗号方法の証明書を利用してください。


関連情報

本脆弱性問題の詳細は、次のURLを参照してください。

それ以外の脆弱性問題の詳細は、次のURLを参照してください。


更新履歴

  • 2017/01/27 初版
  • 2017/10/05 第2版 「対処方法」を更新

本サイトについてのご注意

  1. 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、 それぞれの情報におきまして内容を予告なく変更することがありますので、 あらかじめご了承ください。

  2. 本サイトに掲載した製品には他社の製品も含まれており、 これらの製品の情報につきましては、 他社から提供または公開された情報を基にしております。 最新の情報につきましては製品開発元の情報を参照してください。

  3. 本サイトは弊社製品のセキュリティ情報の提供を目的としております。 掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、 弊社では責任を負いかねますのでご了承ください。

セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。

製品名カテゴリ

WebOTX
WebOTX Application Server
WebOTX Service Integration
WebOTX Portal

  • コンテンツID: 3010101948
  • 公開日: 2017年12月21日
  • 最終更新日:2018年01月11日
ここからページ共通メニューです。 ページ共通メニューを読み飛ばす。