概要
OpenSSL(1.0.2、1.1.1d)におけるバッファオーバーフローの脆弱性が報告されています。
- rsaz_512_sqr overflow bug on x86_64
CVE-2019-1551 (Severity: Low)
WebOTX Webサーバでは、SSL(HTTPS)通信を実現するmod_sslモジュールでOpenSSLのライブラリをリンクしています。
調査の結果、SSL関連の設定を変更している場合、OpenSSLをリンクするWebOTX Webサーバにおいて、影響を受けることが判明しています。
影響のある製品
- WebOTX Application Server Express V8.2~V10.3
- WebOTX Application Server Standard V8.2~V10.3
- WebOTX Application Server Enterprise V8.2~V9.6
- WebOTX SIP Application Server Standard Edition V8.13
(※) V8.2~V9.4、V10.1については、OpenSSLのバージョン1.0.2のパッチモジュールを適用している場合のみ該当します。
(※) WebOTX Enterprise Service Bus V8.5、V9.2~V9.3、V10.1、V10.3および
WebOTX Portal V8.3、V9.1、V9.3、V10.1に同梱されているWebOTX Application Server Expressを使用している場合にも該当します。
詳細
● 脆弱性の影響
攻撃者により任意のコードを実行されたり、サービス運用妨害 (DoS) 攻撃を受けたりする可能性があります。
なお、開発者によると楕円曲線暗号アルゴリズムを用いる場合には本脆弱性の影響は受けないとのことです。
● 脆弱性に該当する条件
SSL(HTTPS)通信において、DH512の暗号アルゴリズムを用いた暗号スイートを使用している場合に影響を受ける可能性があります。
対処方法
回避方法
DH512の暗号アルゴリズムを含む暗号スイートのEXPORTを無効化してください。
※ WebOTX Webサーバ2.4以降では、デフォルトで無効化されています。
設定手順は次の通りです。
- <WebOTXインストールディレクトリ>/domains/<ドメイン名>/config/WebServer/ssl.conf
をテキストエディタで開きます。
- SSLCipherSuiteディレクティブに、"!EXPORT"を追加してください。
既に定義が存在する場合は本手順は不要です。
変更例)
SSLCipherSuite HIGH:MEDIUM:!MD5:!RC4:!EXPORT
^^^^^^^
- SSLHonorCipherOrderディレクティブに"on"を設定します。
既にonになっている場合は本手順は不要です。
- Webサーバを再起動します。
otxadmin> invoke server.WebServer.stop
otxadmin> invoke server.WebServer.start
関連情報
本脆弱性問題の詳細は、次のURLを参照してください。
更新履歴
2020/06/03 初版
2020/08/28 改版
本サイトについてのご注意
- 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、それぞれの情報におきまして内容を予告なく変更することがありますので、
あらかじめご了承ください。
- 本サイトに掲載した製品には他社の製品も含まれており、これらの製品の情報につきましては、他社から提供または公開された情報を基にしております。
最新の情報につきましては製品開発元の情報を参照してください。
- 本サイトは弊社製品のセキュリティ情報の提供を目的としております。掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、
弊社では責任を負いかねますのでご了承ください。
セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。