概要
OpenSSLには、次の脆弱性が報告されています。
- Infinite loop in BN_mod_sqrt() reachable when parsing certificates
CVE-2022-0778 (Severity: High)
WebOTX Webサーバでは、SSL(HTTPS)通信を実現するmod_sslモジュールでOpenSSLのライブラリをリンクしています。調査の結果、SSL(HTTPS)通信を利用する設定としている場合、OpenSSLをリンクするWebOTX Webサーバにおいて、上記脆弱性のうち、CVE-2022-0778の影響を受けることが判明しています。
影響のある製品
- WebOTX Application Server Express V8.2~V10.4
- WebOTX Application Server Standard V8.2~V10.4
- WebOTX Application Server Enterprise V8.2~V9.6
- WebOTX SIP Application Server Standard Edition V8.13
(※)WebOTX Enterprise Service Bus V8.2~V8.5、V9.2、V9.3、V10.1、V10.3、WebOTX Portal V8.2~V8.4、V9.1、V9.3、V10.1、V10.4にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。
(※)V8.2~V9.3はOpenSSLのバージョン1.0.2/1.1.1(1.1.1m以前)のWebサーバパッチモジュールを適用している場合に該当します。
詳細
【CVE-2022-0778】
[脆弱性の影響]
無限ループにより、サービス運用妨害(DoS)攻撃を受ける可能性があります。
[脆弱性に該当する条件]
SSL(HTTPS)通信を行い、細工された証明書や暗号鍵を利用された場合に無限ループが発生する可能性があります。
WebOTX Webサーバの既定の設定では、SSL(HTTPS)通信は無効となっており、利用しません。
対処方法
下記のパッチを提供しております。
その他のバージョンについてはパッチの公開時期を現在検討中です。
急ぎでパッチが必要な場合はご連絡ください。
回避方法
関連情報
本脆弱性問題の詳細は、以下のURLを参照してください。
更新履歴
2022/04/11 初版
2022/04/20 更新
本サイトについてのご注意
- 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、それぞれの情報におきまして内容を予告なく変更することがありますので、あらかじめご了承ください。
- 本サイトに掲載した製品には他社の製品も含まれており、これらの製品の情報につきましては、他社から提供または公開された情報を基にしております。最新の情報につきましては製品開発元の情報を参照してください。
- 本サイトは弊社製品のセキュリティ情報の提供を目的としております。掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、弊社では責任を負いかねますのでご了承ください。
セキュリティ問題に関する情報は変化しておりますので、お客様には常に最新の情報をご確認いただけますようお願い申し上げます。