ページの先頭です。
ここから本文です。

お知らせ

[WebOTX] OpenSSL における暗号通信を解読可能な脆弱性(JVNVU#91973538)への影響と対策について


概要

OpenSSL(1.0.2wより前の1.0.2系のバージョン)における暗号通信を解読可能な脆弱性が報告されています。

  • Raccoon Attack
    CVE-2020-1968 (Severity: Low)

WebOTX Webサーバでは、SSL(HTTPS)通信を実現するmod_sslモジュールで
OpenSSLのライブラリをリンクしています。調査の結果、SSL(HTTPS)通信を
利用する設定としている場合、OpenSSLをリンクするWebOTX Webサーバにおいて、
影響を受けることが判明しています。


影響のある製品

  • WebOTX Application Server Express V8.2~V10.2
  • WebOTX Application Server Standard V8.2~V10.2
  • WebOTX Application Server Enterprise V8.2~V9.6
  • WebOTX SIP Application Server Standard Edition V8.13

(※)WebOTX Enterprise Service Bus V8.2~V8.5、V9.2、V9.3、V10.1、
  WebOTX Portal V8.2~V8.4、V9.1、V9.3、V10.1
  にバンドルされているWebOTX Application Server Expressを
  使用している場合にも該当します。
(※)V8.2~V9.3はOpenSSLのバージョン1.0.2のパッチモジュールを
  適用している場合に該当します。


詳細

● 脆弱性の影響
攻撃者により暗号化された通信内容を解読される可能性があります。

● 脆弱性に該当する条件
SSL(HTTPS)通信を行う場合に影響を受ける可能性があります。
WebOTX Webサーバの既定の設定では、SSL(HTTPS)通信は無効となっており、利用しません。


対処方法

パッチが必要な方はお問い合わせください。


回避方法

DH(Diffie-Hellman鍵交換)の暗号スイートを無効化してください。

設定手順は次の通りです。
----------------------------------------

  1. <WebOTXインストールディレクトリ>/domains/<ドメイン名>/config/WebServer/ssl.conf
    をテキストエディタで開きます。
  2. SSLCipherSuiteディレクティブに、"!DH"を追加してください。
    既に定義が存在する場合、本手順は不要です。

    設定例)
    SSLCipherSuite HIGH:MEDIUM:!MD5:!RC4:!DH
                        ^^^^^
  3. SSLHonorCipherOrderディレクティブに"on"を設定します。
    既にonになっている場合は本手順は不要です。
  4. Webサーバを再起動します。
    otxadmin> invoke server.WebServer.stop
    otxadmin> invoke server.WebServer.start

----------------------------------------


関連情報

本脆弱性問題の詳細は、次のURLを参照してください。

  • JVNVU#91973538
    https://jvn.jp/vu/JVNVU91973538/
  • CVE-2020-1968
    https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1968

更新履歴

2020/09/24 初版


本サイトについてのご注意

  1. 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、それぞれの情報におきまして内容を予告なく変更することがありますので、
    あらかじめご了承ください。
  2. 本サイトに掲載した製品には他社の製品も含まれており、 これらの製品の情報につきましては、他社から提供または公開された情報を基にしております。
    最新の情報につきましては製品開発元の情報を参照してください。
  3. 本サイトは弊社製品のセキュリティ情報の提供を目的としております。掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、
    弊社では責任を負いかねますのでご了承ください。

セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。

製品名カテゴリ

WebOTX
WebOTX Application Server
WebOTX Service Integration
WebOTX Portal

対象製品

品名: WebOTX Application Server Express V8.2~V10.2
品名: WebOTX Application Server Standard V8.2~V10.2
品名: WebOTX Application Server Enterprise V8.2~V9.6
品名: WebOTX SIP Application Server Standard Edition V8.13
  • コンテンツID: 3010103206
  • 公開日: 2020年09月24日
  • 最終更新日:2020年09月24日
ここからページ共通メニューです。 ページ共通メニューを読み飛ばす。