[WebOTX] OpenSSLにおける複数の脆弱性(CVE-2017-3731, CVE-2017-3730, CVE-2017-3732, CVE-2016-7055)による影響と対策について
概要
OpenSSLには、次の脆弱性が存在します。
- 細工された(Truncated)パケットが、範囲外(out-of-bounds)の読み込みを通じてクラッシュする可能性
CVE-2017-3731 (重要度:中)
- 不正な(EC)DHEパラメータによりクライアントがクラッシュする可能性
CVE-2017-3730 (重要度:中)
- BN_mod_exp 関数処理の x86_64 環境での誤り
CVE-2017-3732 (重要度:中)
- モンゴメリ乗算処理の誤り
CVE-2016-7055 (重要度:低)
WebOTX Webサーバでは、SSL(HTTPS)通信を実現するmod_sslモジュールで
OpenSSLのライブラリをリンクしています。調査の結果、OpenSSL 1.0.2を
リンクするWebOTX Webサーバにおいて、上記脆弱性のうち、CVE-2017-3730
以外の影響を受けることが判明しています。
影響のある製品
- WebOTX Application Server Express V8.2~V9.4 (※)
- WebOTX Application Server Foundation V8.2~V8.5
- WebOTX Application Server Standard V8.2~V9.4
- WebOTX Application Server Enterprise V8.2~V9.4
- WebOTX Enterprise Service Bus V8.2~V8.5
- WebOTX Portal V8.2~V9.1
OpenSSL 1.0.1および、1.0.2に対応したパッチモジュールを適用している
場合に影響を受ける可能性があります。
(※) WebOTX Enterprise Service Bus V9.2~V9.3、および、
WebOTX Portal V9.3に同梱されている
WebOTX Application Server Expressを使用している場合にも該当します。
詳細
CVE-2017-3731
- 脆弱性の影響
本脆弱性により、細工されたパケットから範囲外のデータ読み込みが
行われることによって、アプリケーションがクラッシュする可能性が
あります。
- 脆弱性に該当する条件
32bit OSでのSSL(HTTPS)通信において、RC4-MD5のアルゴリズムを
利用する暗号スイートを有効にしている場合に影響を受ける可能性が
あります。
CVE-2017-3732
- 脆弱性の影響
本脆弱性により、秘密鍵等の重要な情報を取得される可能性があります。
- 脆弱性に該当する条件
SSL(HTTPS)通信において、ECアルゴリズム以外の暗号スイートを
利用している場合に影響を受ける可能性があります。
CVE-2016-7055
- 脆弱性の影響
本脆弱性により、認証や、キーネゴシエーションが失敗することで、
サービス運用妨害(DoS)攻撃を受ける可能性があります。
- 脆弱性に該当する条件
SSL(HTTPS)通信において、512bitの楕円曲線暗号の秘密鍵を利用し、
かつ、クライアントからの接続で当該暗号を使用する場合に影響を
受ける可能性があります。
なお、WebOTX Webサーバ付属の証明書では、512bitの楕円曲線暗号は
利用しておりません。独自の証明書をご利用の場合にその内容を
ご確認ください。
対処方法
本脆弱性を修正した、WebOTX Webサーバ 2.2、および、Webサーバ 2.4
(Windows(x64)版/HP-UX(IPF)版/Linux(x64)版)向けの
パッチモジュールを、次のページで公開しています。
コンテンツID:9010102290
(WebOTX V9.3向け)(Windows(x64)版/Linux(x64)版)
コンテンツID:9010107229
(WebOTX V9.4、V9.5向け)(Windows(x64)版/HP-UX(IPF)版/Linux(x64)版)
コンテンツID:9010107255
WebOTX Webサーバ 2.4向けの他のOSのパッチモジュールは、準備出来次第、
公開予定です。急ぎでパッチが必要な場合はご連絡ください。
(注意) パッチモジュールは製品保守契約を結んでいただいたお客様に
限定して提供させていただいています。まだ契約がお済みでない
お客様は、保守契約締結の後、ダウンロードをお願いいたします。
回避方法
CVE-2017-3731
RC4-MD5アルゴリズム利用する暗号スイートを無効化してください。
無効化する方法は、次の通りです。
- <WebOTXインストールディレクトリ>/domains/<ドメイン名>/config/WebServer/ssl.conf
をテキストエディタで開きます。
- SSLCipherSuiteディレクティブに、RC4-MD5のアルゴリズムを
無効化するための定義(!MD5や!RC4)を追加するか、または、
RC4-MD5の組み合わせの暗号スイートを削除してください。
変更例)
|
SSLCipherSuite HIGH:MEDIUM:!MD5:!RC4 |
- Webサーバを再起動します。
otxadmin> invoke server.WebServer.stop otxadmin> invoke server.WebServer.start |
CVE-2017-3732
ECアルゴリズムを利用する暗号スイートを使用してください。
ECアルゴリズムを利用する暗号スイートは、"ECDHE-RSA"、
"ECDHE-ECDSA"、"AECDH"で始まる名前のものです。
利用している暗号スイートの確認と、変更方法は次の通りです。
- <WebOTXインストールディレクトリ>/domains/<ドメイン名>/config/WebServer/ssl.conf
をテキストエディタで開きます。
- SSLCipherSuiteディレクティブの値を確認します。
定義例)
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:\
ECDHE-ECDSA-AES128-GCM-SHA256:\
ECDHE-RSA-AES256-GCM-SHA384:\
DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:\
!DES:!RC4:!3DES:!MD5:!PSK |
上記の定義例の場合、ECDHEではない"DHE-RSA-AES256-SHA"を
削除します。
- (定義を変更した場合)Webサーバを再起動します。
otxadmin> invoke server.WebServer.stop otxadmin> invoke server.WebServer.start |
CVE-2016-7055
512bitの楕円曲線以外の暗号方法の証明書を利用してください。
関連情報
本脆弱性問題の詳細は、次のURLを参照してください。
それ以外の脆弱性問題の詳細は、次のURLを参照してください。
更新履歴
2017/3/1 初版
2017/10/05 第2版 「対処方法」を更新
本サイトについてのご注意
- 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、それぞれの情報におきまして内容を予告なく変更することがありますので、あらかじめご了承ください。
- 本サイトに掲載した製品には他社の製品も含まれており、これらの製品の情報につきましては、他社から提供または公開された情報を基にしております。 最新の情報につきましては製品開発元の情報を参照してください。
- 本サイトは弊社製品のセキュリティ情報の提供を目的としております。 掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、弊社では責任を負いかねますのでご了承ください。
セキュリティ問題に関する情報は変化しておりますので、お客様には常に最新の情報をご確認いただけますようお願い申し上げます。
製品名カテゴリ
WebOTX
WebOTX Application Server
WebOTX Service Integration
WebOTX Portal
-
コンテンツID:
3010101975
-
公開日:
2017年12月21日
-
最終更新日:2018年01月11日