概要
OpenSSLには、次の脆弱性が存在します。
・ECDSA remote timing attack
CVE-2019-1547 (Severity: Low)
・Fork Protection
CVE-2019-1549 (Severity: Low)
・Padding Oracle in PKCS7_dataDecode and CMS_decrypt_set1_pkey
CVE-2019-1563 (Severity: Low)
WebOTX Webサーバでは、SSL(HTTPS)通信を実現するmod_sslモジュールでOpenSSLのライブラリをリンクしています。調査の結果、OpenSSLをリンクするWebOTX Webサーバにおいて、上記脆弱性のうち、CVE-2019-1547の影響を受けることが判明しています。
影響のある製品
- WebOTX Application Server Express V8.2~V10.2 (※)
- WebOTX Application Server Foundation V8.2~V8.5
- WebOTX Application Server Standard V8.2~V10.2
- WebOTX Application Server Enterprise V8.2~V9.5
- WebOTX Enterprise Service Bus V6.4~V8.5
- WebOTX Portal V8.2~V9.1
OpenSSL 1.0.0 / 1.0.1 / 1.0.2 に対応したパッチモジュールを適用している場合に影響を受ける可能性があります。
(※)WebOTX Enterprise Service Bus V9.2~V10.1、および、WebOTX Portal V9.2~V10.1に同梱されているWebOTX Application Server Expressを使用している場合にも該当します。
詳細
■ CVE-2019-1547
●脆弱性の影響
本脆弱性により、秘密鍵等の重要な情報を取得される可能性があります。
●脆弱性に該当する条件
SSL(HTTPS)通信において、ECDSAの暗号スイートを利用している場合に影響を受ける可能性があります。
対処方法
回避方法
■ CVE-2019-1547
ECDSAを利用する暗号スイートを無効化してください。
無効化する方法は、次の通りです。
----------------------------------------
1. <WebOTXインストールディレクトリ>/domains/<ドメイン名>/config/WebServer/ssl.conf
をテキストエディタで開きます。
2. SSLCipherSuiteディレクティブに、ECDSAを無効化するための定義(!ECDSA)を追加するか、または、ECDSAの暗号スイート定義を削除してください。
変更例)
SSLCipherSuite HIGH:MEDIUM:!MD5:!RC4:!ECDSA
3. Webサーバを再起動します。
otxadmin> invoke server.WebServer.stop
otxadmin> invoke server.WebServer.start
----------------------------------------
関連情報
本脆弱性問題の詳細は、次のURLを参照してください。
それ以外の脆弱性問題の詳細は、次のURLを参照してください。
更新履歴
本サイトについてのご注意
1. 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、 それぞれの情報におきまして内容を予告なく変更することがありますので、 あらかじめご了承ください。
2. 本サイトに掲載した製品には他社の製品も含まれており、 これらの製品の情報につきましては、他社から提供または公開された情報を基にしております。 最新の情報につきましては製品開発元の情報を参照してください。
3. 本サイトは弊社製品のセキュリティ情報の提供を目的としております。掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、 弊社では責任を負いかねますのでご了承ください。
セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。