[WebOTX] OpenSSLにおける複数の脆弱性(CVE-2018-0733, CVE-2018-0739, CVE-2017-3738)による影響と対策について
概要
OpenSSLには、次の脆弱性が存在します。
- Incorrect CRYPTO_memcmp on HP-UX PA-RISC
CVE-2018-0733 (深刻度:中)
- Constructed ASN.1 types with a recursive definition could exceed the stack
CVE-2018-0739 (深刻度:中)
- rsaz_1024_mul_avx2 overflow bug on x86_64
CVE-2017-3738 (深刻度:低)
WebOTX Webサーバでは、SSL(HTTPS)通信を実現するmod_sslモジュールで
OpenSSLのライブラリをリンクしています。調査の結果、OpenSSLを
リンクするWebOTX Webサーバにおいて、上記脆弱性のうち、CVE-2018-0739、
CVE-2017-3738の影響を受けることが判明しています。
影響のある製品
- WebOTX Web Edition V4.1~V6.5
- WebOTX Standard-J Edition V4.1~V6.5
- WebOTX Standard Edition V4.1~V6.5
- WebOTX Enterprise Edition V4.1~V6.5
- WebOTX Application Server Web Edition V7.1~V8.1
- WebOTX Application Server Standard-J Edition V7.1~V8.1
- WebOTX Application Server Express V8.2~V10.1 (※)
- WebOTX Application Server Foundation V8.2~V8.5
- WebOTX Application Server Standard V8.2~V10.1
- WebOTX Application Server Enterprise V8.2~V9.5
- WebOTX Enterprise Service Bus V6.4~V8.5
- WebOTX Portal V8.2~V9.1
OpenSSL 0.9.8 / 1.0.0 / 1.0.1 / 1.0.2 に対応したパッチモジュールを
適用している場合に影響を受ける可能性があります。
(※)WebOTX Enterprise Service Bus V9.2~V9.3、および、
WebOTX Portal V9.2~V9.3にバンドルされている
WebOTX Application Server Expressを使用している場合にも
該当します。
詳細
■ CVE-2018-0739
●脆弱性の影響
本脆弱性により、サービス運用妨害(DoS)攻撃を受ける可能性があります。
●脆弱性に該当する条件
WebOTX Webサーバで、SSL(HTTPS)通信を行う場合に、本脆弱性の影響を
受ける可能性があります。ただし、信頼できないソースから来るSSL/TLSで、
問題となるような、再帰的な定義を伴うASN.1の構造が使われることは
無いため、OpenSSL Security Advisoryでは、安全であるとの見解が
出されています。
■ CVE-2017-3738
●脆弱性の影響
本脆弱性により、機密データを取得される等、不特定の影響を受ける
可能性があります。
●脆弱性に該当する条件
AVX2をサポートするプロセッサ(ただし、Intel Haswell(第4世代)の
ようなADX拡張を除く)を利用する環境で、OpenSSL 1.0.2のライブラリを
リンクしたWebOTX Webサーバを使ったSSL(HTTPS)通信において、
ECアルゴリズム以外の暗号スイートを利用している場合に、本脆弱性の
影響を受ける可能性があります。
対処方法
回避方法
■ CVE-2018-0739
ありません。
■ CVE-2017-3738
ECアルゴリズムを利用する暗号スイートを使用してください。
ECアルゴリズムを利用する暗号スイートは、"ECDHE-RSA"、
"ECDHE-ECDSA"、"AECDH"で始まる名前のものです。
利用している暗号スイートの確認と、変更方法は次の通りです。
----------------------------------------
- <WebOTXインストールディレクトリ>/domains/<ドメイン名>/config/WebServer/ssl.conf
をテキストエディタで開きます。
- SSLCipherSuiteディレクティブの値を確認します。
定義例)
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:\
ECDHE-ECDSA-AES128-GCM-SHA256:\
ECDHE-RSA-AES256-GCM-SHA384:\
DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:\
!DES:!RC4:!3DES:!MD5:!PSK |
上記の定義例の場合、ECDHEではない"DHE-RSA-AES256-SHA"を
削除します。
- (定義を変更した場合)Webサーバを再起動します。
otxadmin> invoke server.WebServer.stop otxadmin> invoke server.WebServer.start |
----------------------------------------
関連情報
本脆弱性問題の詳細は、以下のURLを参照してください。
それ以外の脆弱性問題の詳細は、次のURLを参照してください。
更新履歴
2018/04/27 初版
2019/10/23 「対処方法」にリンク「【WebOTX】Apache HTTP Server 2.4.41:OpenSSL 1.0.2t のダウンロード(WebOTX V9.4向け)(Linux(x64)版)」を追加。
本サイトについてのご注意
弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、 それぞれの情報におきまして内容を予告なく変更することがありますので、 あらかじめご了承ください。
本サイトに掲載した製品には他社の製品も含まれており、 これらの製品の情報につきましては、 他社から提供または公開された情報を基にしております。 最新の情報につきましては製品開発元の情報を参照してください。
本サイトは弊社製品のセキュリティ情報の提供を目的としております。 掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、 弊社では責任を負いかねますのでご了承ください。
セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。
製品名カテゴリ
WebOTX
WebOTX Application Server
WebOTX Service Integration
WebOTX Portal
-
コンテンツID:
3010102410
-
公開日:
2018年06月11日
-
最終更新日:2019年12月27日