概要
OpenSSL(1.1.1d、1.1.1e、1.1.1f)におけるNULLポインタ参照の脆弱性が報告されています。
- Segmentation fault in SSL_check_chain
CVE-2020-1967 (Severity: High)
WebOTX Webサーバでは、SSL(HTTPS)通信を実現するmod_sslモジュールでOpenSSLのライブラリをリンクしています。
調査の結果、SSL(HTTPS)通信を利用する設定としている場合、OpenSSLをリンクするWebOTX Webサーバにおいて、影響を受けることが判明しています。
影響のある製品
- WebOTX Application Server Express V10.3
- WebOTX Application Server Standard V10.3
(※) WebOTX Enterprise Service Bus V10.3および、WebOTX Portal V10.1で、WebOTX Application Server Express V10.3を使用している場合にも該当します。
詳細
● 脆弱性の影響
TLS1.3の signature_algorithms_cert 拡張を処理する際に NULL ポインタ参照が発生するため
ハンドシェイク後の通信において SSL_check_chain() 関数が実行される際に、WebOTX Webサーバがクラッシュする可能性があります。
● 脆弱性に該当する条件
TLS1.3を利用してSSL(HTTPS)通信を行う場合に影響を受ける可能性があります。
WebOTX Webサーバの既定の設定では、SSL(HTTPS)通信は無効となっており、利用しません。
対処方法
パッチの公開時期は現在検討中です。急ぎでパッチが必要な場合はご連絡ください。
回避方法
TLS1.3の利用を制限してください。
設定手順は次の通りです。
- <WebOTXインストールディレクトリ>/domains/<ドメイン名>/config/WebServer/ssl.confをテキストエディタで開きます。
- SSLProtocol、SSLProxyProtocolディレクティブに、"-TLSv1.3"を追加してください。
既に定義が存在する場合、本手順は不要です。
変更例)
SSLProtocol all -SSLv3 -TLSv1.3
^^^^^^
SSLProxyProtocol all -SSLv3 -TLSv1.3
^^^^^^
- Webサーバを再起動します。
otxadmin> invoke server.WebServer.stop
otxadmin> invoke server.WebServer.start
関連情報
本脆弱性問題の詳細は、次のURLを参照してください。
更新履歴
本サイトについてのご注意
- 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、それぞれの情報におきまして内容を予告なく変更することがありますので、
あらかじめご了承ください。
- 本サイトに掲載した製品には他社の製品も含まれており、これらの製品の情報につきましては、他社から提供または公開された情報を基にしております。
最新の情報につきましては製品開発元の情報を参照してください。
- 本サイトは弊社製品のセキュリティ情報の提供を目的としております。掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、
弊社では責任を負いかねますのでご了承ください。
セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。